Die Bundesregierung hat heute einen Gesetzesentwurf zum Datenschutz beschlossen, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll. Ein entsprechender Referentenentwurf des Bundesministeriums des Innern war zuvor von vielen Seiten – unter anderem vom Verbraucherzentrale Bundesverband (vzbv) – als inakzeptabel kritisiert worden.

Der vzbv begrüßt, dass die Bundesregierung die Kritik am Entwurf des Bundesministeriums des Innern aufgenommen und wesentliche Punkte nachgebessert hat. Unternehmen können den Nutzungszweck von erhobenen Daten nicht, wie ursprünglich vorgesehen, über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in den neuen Entwurf überführt.

Gleichzeitig schränkt aber leider auch der aktuelle Entwurf Rechte von betroffenen Personen in nicht akzeptabler Art und Weise ein. Beispielsweise müssten Unternehmen Betroffene künftig nicht über eine Datenverarbeitung informieren, wenn dies einen unverhältnismäßigen Aufwand bedeuten würde. Mit dieser unklaren Definition lässt der Gesetzentwurf eine Hintertür für Unternehmen offen. Die informationelle Selbstbestimmung von Verbrauchern wird damit untergraben. Eine derartige Einschränkung der Betroffenenrechte ist aus Sicht des vzbv nicht mit der Datenschutzgrundverordnung vereinbar. Deutsche Verbraucher würden datenschutzrechtlich schlechter gestellt als Verbraucher in anderen EU-Mitgliedsstaaten.

Ob der im Kabinettsentwurf vorgesehene, neue Paragraf für private Krankenversicherungen zulässig ist, erachtet der vzbv als äußerst fraglich. Diese Regelung, die auch für die Verarbeitung von Gesundheitsdaten gelten soll, ist aus vzbv-Sicht besonders kritisch zu bewerten. Die Datenschutzgrundverordnung stellt hier nämlich besonders hohe Anforderungen.

Die Regelung für private Krankenversicherungen soll eine automatisierte Entscheidung im Einzelfall ermöglichen, wenn dem Antrag einer betroffenen Person auf Erstattung der Rechnung nicht vollständig stattgegeben wird. Bislang war in diesen Fällen eine Einzelfallprüfung vorgesehen.

Der vorliegende Entwurf ist nun Gegenstand des parlamentarischen Gesetzgebungsprozesses. Die Verhandlungen sollen bis Mai 2017 abgeschlossen sein, damit die Vorschriften gemeinsam mit der Datenschutzgrundverordnung ab Mai 2018 angewendet werden können. Der vzbv wird den Prozess kritisch begleiten.

Das oberste US-Berufungsgericht hat bestätigt, dass Microsoft die in Irland gespeicherten E-Mails eines europäischen Nutzers nicht an die Regierungsbehörden herausgeben muss. Gleichzeitig forderten die Richter eine Gesetzesänderung, um dies künftig zu ermöglichen.

Microsoft hat im seit drei Jahren währenden Rechtsstreit mit der amerikanischen Regierung um die Herausgabe von E-Mails eines europäischen Nutzers einen wichtigen Sieg errungen. Als vierte und letzte Instanz hat das oberste Berufungsgericht in New York jetzt entschieden, das aktuell gültige Urteil nicht zu revidieren. Demzufolge kann die Regierung Microsoft nicht dazu zwingen, die in seinem Rechenzentrum in der irischen Hauptstadt Dublin gespeicherten E-Mails eines europäischen Nutzers herauszugeben. Anders als von zwei vorherigen Instanzen argumentiert, sei der mögliche Zugriff von Microsoft auf die Daten in seinen ausländischen Rechenzentren nicht mit deren Speicherung auf US-Hoheitsgebiet gleichzusetzen, wie es der Patriot Act und ähnliche einschlägige Vorschriften zur Wahrung der nationalen Sicherheit fordern. Allerdings war die Entscheidung des Berufungsgerichtes nicht einstimmig und könnte weitere Konsequenzen für amerikanische Cloud-Anbieter nach sich ziehen. Um künftig Risiken für die nationale Sicherheit durch die von ihnen festgestellte Rechtslage zu vermeiden, regten die Richter selbst eine Verschärfung der Gesetze an, mit der auch der Zugriff auf ausländische Rechenzentren amerikanischer Anbieter ausdrücklich möglich gemacht werden könnte. Die Chancen, dass die Trump-Administration dies umsetzt, sind hoch.

Auch Microsofts Rechtsverantwortlicher Brad Smith forderte deshalb nach dem Urteil klare Regelungen, auf die sich die Nutzer verlassen können und mit denen sichergestellt wird, dass die Gesetze anderer Länder geachtet werden. In Deutschland und Europa versucht Microsoft dem Zugriffswillen amerikanischer Behörden mit der Microsoft Cloud Deutschland vorzubauen. Bei diesem Modell werden die Daten zwar in deutschen Microsoft-Rechenzentren gespeichert, aber von T-Systems als Datentreuhändler verwaltet. Damit wird der Zugriff für die US-Behörden zusätzlich erschwert. Auch wenn das neue Urteil diese zusätzliche Absicherung, die teilweise auch mit erheblichen Zusatzkosten für die Kunden verbunden ist, unnötig erscheinen lässt, so dürfte das Modell durch die Vorschläge der Richter in Bezug auf weiterreichende Zugriffsrechte doch zusätzlichen Rückenwind bekommen.

Im vorliegenden Fall hatten die US-Behörden Microsoft bereits 2013 dazu aufgefordert, sämtliche Nutzerdaten und E-Mails des Mannes herauszugeben, da sie wegen Drogenschmuggels gegen ihn ermittelten. Das Unternehmen hatte sich mit dem Verweis auf die europäischen Datenschutzgesetze und das übliche Verfahren für internationale Rechtshilfeersuchen dagegen gewehrt und den Behörden lediglich die in den USA gespeicherten Daten zum Nutzeraccount übermittelt. Daraufhin hatte die Regierung von Barack Obama ein Gerichtsverfahren gegen Microsoft eingeleitet, um die Herausgabe zu erzwingen. Nachdem die ersten zwei Instanzen der Ansicht gewesen waren, dass Microsoft als amerikanisches Unternehmen nach dem Patriot Act unabhängig internationaler Gesetze und Vorschriften dazu verpflichtet sei, hatte die dritte Instanz diese Meinung im Sommer des vergangenen Jahres überraschend revidiert.

Laut einer KPMG-Studie werden mehr als ein Drittel aller deutschen Unternehmen Opfer von Wirtschaftskriminalität. Größter Risikofaktor sind die eigenen Mitarbeiter.

• Mehr als drei Viertel der Unternehmen in der Studie wähnen sich in trügerischer Sicherheit.
• Größte Tätergruppe sind eigene Mitarbeiter mit 84 Prozent der Nennungen. Sie stecken sehr häufig mit Externen unter einer Decke

Über Wirtschaftskriminalität zu schreiben ist insofern etwas kompliziert, als der Begriff zwei sehr unterschiedliche Phänomene bezeichnet. Zum einen geht es dabei um Straftaten, bei denen Unternehmen die Opfer sind, also etwa um Datendiebstahl in großen Stil durch Cyberangriffe Externer. Zum anderen dreht sich Wirtschaftskriminalität um Straftaten durch Unternehmen, wobei die Opfer sowohl der eigene Laden als auch Externe sein können.

Die Meinungsforscher von TNS Emnid haben jetzt im Auftrag von KPMG eine Befragung von 500 Unternehmen durchgeführt, um die Entwicklung von Art und Umfang solcher Straftaten in den zurückliegenden zwei Jahren zu ermitteln.

Untreue vor Diebstahl und Unterschlagung

45 Prozent der befragten Firmen, so ein zentrales Ergebnis, waren in dieser Zeit von Wirtschaftskriminalität betroffen, also entweder Täter oder Opfer solcher Taten.

Die häufigsten Deliktarten sind Betrug und Untreue (45 Prozent), dicht gefolgt von Diebstahl und Unterschlagung mit 43 Prozent. Letztere beiden kommen bei Großunternehmen mit 63 Prozent überdurchschnittlich häufig vor. Hier sind darüber hinaus Korruptionsdelikte auf dem Vormarsch, 45 Prozent der Befragten Großen hatten damit bereits zu tun. Das bedeutet, dass diese Art von Delikten im Vergleich zur Situation vor zwei Jahren – dem Zeitpunkt der vorigen Befragung – um 50 Prozent zugenommen hat.

Gefahren werden massiv unterschätzt

Bemerkenswert ist diese Zahl insofern, als gerade Großunternehmen das Risiko, angegriffen zu werden, massiv unterschätzen: Lediglich 23 Prozent von ihnen befürchten einen Angriff, mehr als drei Viertel wähnen sich also in (trügerischer) Sicherheit.

Autozulieferer Leoni um 40 Millionen Euro geprellt

Wie gefährlich solche Arglosigkeit sein kann, beweist ein aktueller prominenter Fall: Der große Autozulieferer Leoni aus Nürnberg gab im August bekannt, um 40 Millionen Euro geprellt worden zu sein. Nach Unternehmensangaben nutzten die Ganoven gefälschte Dokumente und Identitäten, um über „elektronische Kommunikationswege“ an das Geld zu kommen.

Offensichtlich hatte sich jemand als Leoni-Mitarbeiter ausgegeben, behauptet, besondere Befugnisse zu haben und unter diesem Vorwand unterschiedliche Geschäftsvorgänge zum eigenen Nutzen ausführen lassen.

Die Masche erinnert ein wenig an den populären „Enkeltrick“, bei der Betrüger alte Leute anrufen, sich als Verwandte ausgeben und anschließend Geld überweisen lassen. Nur dass der Leoni-Betrüger eben behauptet hat, statt Verwandter eine Art Chef zu sein, dessen Anweisungen Folge zu leisten sei.

Ein Leser von Spiegel Online schrieb zu diesem Fall sehr passend, die Masche ziehe nur, „wenn alle Mitarbeiter einschließlich Revision einen gepflegten Schlaf haben und niemand sich traut, den ‚Chef‘ gezielt anzusprechen, woher er seine Vollmachten hat.“

Am gefährlichsten sind die eigenen Mitarbeiter

So skurril der Fall Leoni ist: Mehrheitlich entstehen die Schäden anders. Größte Tätergruppe sind laut KPMG-Studie die eigenen Mitarbeiter mit 84 Prozent der Nennungen. Diese stecken bei ihren Taten sehr häufig mit Externen unter einer Decke.

​Durch das EuGH Urteil zu Safe Harbor im Herbst 2015 und die sich hinziehenden Verhandlungen zum Nachfolger Privacy Shield bis zum Sommer diesen Jahres gab es einige Verunsicherung hinsichtlich der Voraussetzungen für Datentransfers in die USA und andere Drittstaaten.

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben.

Der Leitfaden ist beim BITKOM kostenlos hier erhältlich:
https://www.bitkom.org/Bitkom/Publikationen/Uebermittlung-personenbezogener-Daten-Inland-EU-Laender-Drittlaender-2.html

Der im September bekannt gewordene Datenklau bei Yahoo war nicht der größte aller Zeiten: Bereits ein Jahr zuvor wurden beim Internet-Konzern mehr als eine Milliarde Datensätze abgegriffen, wie sich jetzt herausstellt.

Yahoo ist einer der ältesten Internet-Konzerne und die meisten Internet-Nutzer haben in ihrem Leben wohl schon einmal einen Account bei einem der zahlreichen Yahoo-Dienste besessen. Dementsprechend sitzt das Unternehmen auf Bergen von Datensätzen und ist ein attraktives Ziel für Hacker – die offenbar schon mehrmals erfolgreichen große Datenmengen erbeuten konnten. Erst im September musste Yahoo einen Hack aus dem Jahr 2014 einräumen, der mehr als 500.000 User betraf. Wie sich nun zeigt, geht es aber auch noch eine Nummer größer: Bereits 2013 gerieten mehr als eine Milliarde Datensätze in die falschen Hände.

Im November dieses Jahres bekam Yahoo demnach von den Behörden Dateien überreicht, von denen Dritte behaupteten, es handele sich um Daten von Yahoo-Nutzern. Nach der Analyse bestätigte sich dieser Verdacht. Wahrscheinlich im August 2013 hätten Unbekannte Daten gestohlen, die zu mehr als einer Milliarde Yahoo-Accounts gehören, heißt es beim Internet-Konzern. Man sei nicht in der Lage gewesen nachzuvollziehen, wie ihnen das gelungen war, glaube aber, der Vorfall stehe nicht mit dem im September bekannt gewordenen in Verbindung. Zu den entwendeten Daten zählen Namen, Mail-Adressen, Telefonnummern, Geburtsdaten sowie Passwort-Hashes und in einigen Fällen auch die Sicherheitsfragen und -antworten. Passwörter im Klartext, Kreditkartendaten und Bankinformationen wurden wahrscheinlich nicht entwendet. Yahoo zufolge werden die potenziell betroffenen Nutzer benachrichtigt und müssen ihr Passwort ändern. Die Sicherheitsfragen und -antworten sind nicht mehr gültig.

Inwieweit der neuerliche Sicherheitsvorfall die Übernahme von Yahoo durch Verizon gefährdet, bleibt abzuwarten. Bereits nach Bekanntwerden des 2014er Datenklaus gab es Nachverhandlungen – nun will Verizon den Kauf erneut prüfen.