Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 21.03.2019

Der aktuelle Skandal belegt, dass Facebook das Thema Datenschutz immer noch stiefmütterlich behandelt. Gerade weil die Facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden können, sollten Nutzer des sozialen Netzwerks unbedingt ihre Passwörter ändern.

Bei Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, hat der erneute Skandal vor allem Kopfschütteln ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert. Bei einem ähnlich gelagerten Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Der BfDI ist sich daher sicher, dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird: „Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Facebook hatte heute bekannt gegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern lagen und so für mehr als 20.000 Mitarbeiter zugänglich waren. Besonders kritisch ist der Fall, weil diese Daten nicht nur für den Zugang zum sozialen Netzwerk selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichen es, sich mit den Facebook-Zugangsdaten bei ihnen anzumelden. So gewähren die Daten potentiell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. Facebook-Nutzer sollten daher dringend ihr Passwort ändern. Tipps für sichere Passwörter finden sich beispielsweise auf der Website des Bundesamts für Sicherheit in der Informationstechnik.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Das soziale Netzwerk Myspace hat bei einem Serverumzug aus Versehen mehr als 50 Millionen Fotos, Videos und Musikstücke unwiederbringlich gelöscht.

Immer wieder warnen Experten davor, dass das Internet nichts vergisst. Wenn der hochseriöse Arbeitgeber einen beim Bewerbungsgespräch plötzlich auf die Vollrauschfotos aus dem Stripclub beim Junggesellenabschied abspricht, kann das mehr als peinlich sein. Aber auch der umgekehrte Fall ist nicht immer unbedingt angenehm, wie jetzt eine gigantische Panne beim sozialen Netzwerk Myspace zeigt. Bei einem Umzug auf neue Server wurden über 50 Millionen alte Dateien versehentlich so korrumpiert, dass sie nicht mehr nutz- und wiederherstellbar sind. Von dem Datenunfall betroffen ist ein großer Teil der Mediendateien wie Fotos, Videos und vor allem Musikstücke, die zwischen 2003 und 2015 auf Myspace veröffentlicht wurden.

Das ist für die Nutzer und das Netzwerk gleichermaßen ärgerlich. Zwar hat die 2003 gegründete Plattform ihren Zenit längst überschritten und hat Giganten wie Facebook mit ihren zuletzt noch rund 10 bis 15 Millionen monatlich aktiven Nutzern kaum noch etwas entgegen zu setzen. Aber gerade bei noch wenig bekannten Künstlern und insbesondere Musikern ist die Plattform noch immer beliebt, um neue Werke zu veröffentlichen und sich darüber ein Publikum zu erschließen. Immerhin war Myspace vor dem großen Aufschwung von Youtube bis fast 2010 unangefochtener Spitzenreiter für solche Zwecke. Manch ein Backup-Fauler dieser Musiker könnte damit nun einen Teil seiner Werke für immer verloren haben. Und das Netzwerk selbst dürfte durch den Reputationsverlust seinen eigenen Niedergang nochmals beschleunigt haben.

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat sich den Folgen des Brexits aus Sicht des Datenschutz gewidmet und in einem Merkblatt zusammengefasst.

Dieses Merkblatt soll beim richtigen Umgang mit den Folgen des ungeregelten Austritts des Vereinigten Königreiches (UK) aus der Europäischen Union (EU) helfen.

Informieren möchte der BvD mit diesem Merkblatt sowohl die von der Datenverarbeitung betroffenen Personen als auch Einrichtungen wie Unternehmen, Vereine, Einrichtungen des öffentlichen Dienstes, Arztpraxen usw. die personenbezogene Daten verarbeiten.

Vorbehaltlich etwaiger Übergangsregelungen, die in einem möglichen Rücktrittsabkommen enthalten sein können, gilt ab dem 30. März 2019:

Durch den Austritt aus der EU wird UK zu einem Drittland im Sinne der Artt. 44 ff. Datenschutz-Grundverordnung (DS-GVO). Demnach muss grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DS-GVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o. ä. Instrumente. Auftragsverarbeitung und gemeinsame Verarbeitung sind bei Anwendung der zusätzlichen Instrumente nach der DS-GVO auch in Drittstaaten möglich.

Zum BvD Merkblatt Brexit

Zwar beklagen viele Firmen den Aufwand, den die DSGVO verursacht. Doch eine Studie von Cisco zeigt nun, dass die Umsetzung der Vorgaben ihnen handfeste Vorteile bei der Reaktion auf Data Breaches und Datenschutzanfragen von Kunden bietet. Deutschland hinkt bei der DSGVO-Umsetzung allerdings noch hinterher.

Zwar müssen Unternehmen und andere Organisationen, die personenbezogene Daten verarbeiten, die Datenschutzgrundverordnung bereits seit vergangenem Mai umsetzen, doch immer wieder zeigen Studien, dass längst nicht alle so weit sind. Ein ähnliches Bild zeichnet nun auch die »Data Privacy Benchmark Study« von Cisco, die allerdings deutlich macht, dass die meisten Organisationen auf einem guten Weg sind. Und die zeigt, dass Organisationen, welche die DSGVO umsetzen, geringere Verzögerungen in Verkaufsprozessen erfahren, wenn Kunden sich mit Fragen zum Datenschutz melden. Zudem gehen ihnen seltener und weniger Daten bei Sicherheitsvorfällen verloren.

Für die Studie wurden von Cisco mehr als 3.200 Organisationen in 18 Ländern befragt. Immerhin 59 Prozent von diesen sehen sich gut aufgestellt und gehen davon aus, alle oder zumindest die meisten DSGVO-Vorgaben zu erfüllen. Weitere 29 Prozent erwarten, innerhalb eines Jahres soweit zu sein. Interessant dabei ist, dass Deutschland mit 58 Prozent »DSGVO-Readiness« unter dem weltweiten Durchschnitt liegt, der durch viele außereuropäische Länder nach unten gezogen wird. In Großbritannien (69 Prozent), Italien (72 Prozent) und Spanien (76 Prozent) ist man da deutlich weiter – oder schätzt sich wenigstens besser aufgestellt ein.

Die größten Herausforderungen, die bei der DSGVO-Umsetzung gesehen werden, sind die Erfüllung von Vorgaben zur Datensicherheit (42 Prozent) und interne Trainings (39 Prozent). Aber auch die Tatsache, dass sich vielfach erst in der Praxis zeigen muss, wie Regelungen ausgelegt und umgesetzt werden müssen, sorgt häufig für Probleme (35 Prozent).

Schnellere Beantwortung von Datenschutzanfragen

Dennoch lohnt sich die DSGVO für Unternehmen, weil sie Kundenanfragen zum Datenschutz besser und schneller beantworten können. Durchschnittlich verzögern sich der Cisco-Studie zufolge Verkäufe um 3,9 Wochen, wenn Kunden Datenschutzbedenken äußern. Bei den Organisationen, die »DSGVO-ready« sind, sind es allerdings durchschnittlich nur 3,4 Wochen, während es bei denen, die sich noch mehr als ein Jahr von der Umsetzung entfernt sehen, 5,4 Wochen sind. Vergleicht man das mit dem vergangenen Jahr, als die durchschnittliche Verzögerung noch bei 7,8 Wochen lag, sieht man aber auch, dass Organisationen die Datenschutzanfragen ihrer Kunden insgesamt schneller beantworten können.

Allerdings ist das nur eine Seite der Medaille, denn durch die DSGVO stieg allgemein das Bewusstsein für Datenschutz, und so nahm auch die Zahl der diesbezüglichen Anfragen zu: Hatten im vergangenen Jahr noch 66 Prozent mit Verzögerungen in Verkaufsprozessen zu kämpfen, so waren es zuletzt 87 Prozent.

Weniger Datenverluste und kürzere Downtimes

Auch auf die IT-Security wirkt sich die DSGVO positiv aus – wahrscheinlich, weil Organisationen nun besser wissen, wo personenbezogene und andere wertvolle Daten lagern, die sie schützen müssen. So hatten zwar die meisten Befragten im vergangenen Jahr mit einem Data Breach zu tun, doch dort, wo man die DSGVO bereits umgesetzt hatte, waren es weniger Organisationen: 74 Prozent im Vergleich zu 89 Prozent bei denen, die sich erst in mehr als einem Jahr DSGVO-ready sehen. Und bei ihnen waren auch weniger Daten betroffen (79.000 Datensätze vs. 212.000 Datensätze) und Downtimes fielen kürzer aus (6,4 Wochen vs. 9,4 Wochen).

»Organisationen haben noch einen langen Weg vor sich, um das Maximum aus ihren Investitionen in Datenschutz herauszuholen. Unsere Untersuchung zeigt aber, dass der Markt bestellt ist für diejenigen, die bereit sind in ihre Datenbestände und deren Schutz zu investieren«, so Michelle Dennedy, Chief Privacy Officer bei Cisco.

Mit Ulrich Kelber als Nachfolger von Andrea Voßhoff wurde erstmals ein Informatiker in das Amt des Bundesdatenschutzbeauftragten gewählt. Er erhielt 444 Stimmen bei 176 Gegenstimmen und 37 Enthaltungen, damit mehr Stimmen als zur Wahl erforderlich waren (355), auch mehr Stimmen als SPD und CDU zusammen im Bundestag haben (398).

Der neue Leiter der Datenschutzbehörde sitzt seit dem Jahr 2000 für die SPD im Bundestag. Unter anderem war er in dieser Zeit als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig, zudem verfügt er über rund zehn Jahre Berufserfahrung im IT-Bereich. Er dürfte damit deutlich mehr Fachkenntnis mitbringen als seine vielfach kritisierte Vorgängerin Andrea Voßhoff.

Bei den datenschutzrelevanten Abstimmungen der letzten Jahre trat er nicht durchgehend für maximalen Datenschutz ein. Auch wenn er, entgegen der Parteilinie, gegen Maßnahmen wie die Online-Durchsuchung war, stimmte er beispielsweise 2015 mit der SPD für eine Wiedereinführung der (nun vorerst wieder ausgesetzten) Vorratsdatenspeicherung.