Experten und Freelancer der Bereiche IT, Engineering und Life Science vermitteln wir ab sofort unter unserer Spezialisierung Randstad Professional.
Mehr Informationen
Rechenschaftspflicht nach DSGVO: Datenschutz und Haftung
Die Technik wird leistungsfähiger: 1.000 Terabytes könnten künftig in 4 Sekunden übertragen werden. Eine unerwünschte oder gar unrechtmäßige Datenübertragung „abzubrechen“, ist nicht mehr möglich. Die Verantwortliche haftet auch für die in Artikel 5, Absatz 1 DSGVO genannte Vertraulichkeit ihrer Datenverarbeitung: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ So muss auch die Hausärztin in „technische und organisatorische Maßnahmen“ (TOM oder auch OTM) investieren, um den Forderungen der Gesetzgebung genügen zu können.
Besonders sensible Daten erfordern besonderen Schutz
Gerade bei Gesundheitsdaten ist die Gesetzgebung besonders pingelig – „geeignete Garantien“ sollen die Patient:innen vor Risiken und damit Regelverstößen schützen. Es gilt: Je mehr Menschen und Geräte breitbandig auf Patientendaten zugreifen können, umso mehr Aufwand ist zum Erfüllen der Rechenschaftspflicht erforderlich. Datenschutzmanagement-Systeme nach Standard-Datenschutzmodell, physikalischer Einbruchschutz, elektronische Signaturen, kryptographische (künftig quantensichere!) Verschlüsselungen, Berechtigungs-, Risiko- und Notfallmanagementsysteme, Pentests und elektronische Zertifikate von Systemen, medizinischen Geräten und externen Dienstleistern werden mit fortschreitender Zeit erforderlich sein. Wer heute „spart“, könnte sich künftig dafür rechtfertigen müssen.
Schutz nach “Stand der Technik”
Das vorgeschriebene Schutzniveau heißt „Stand der Technik“, das das Bundesjustizministerium wie folgt definiert:
„Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein."
Das gilt beispielsweise für das Erfassen, Bewerten und Begrenzen von Risiken, die mit der breitbandigen Vernetzung von medizinischen Implantaten, Fahrzeugen oder Verkehrsampeln im Straßenverkehr oder Photovoltaikanlagen verbunden sein können: Schließlich könnte es tödlich für die Betroffenen und andere Verkehrsteilnehmer:innen wirken, wenn das Signal von der Ampel eine Sekunde zu früh, zu spät oder gar nicht vom Fahrzeug wahrgenommen werden sollte. Solche Fehler können unbeabsichtigt oder vorsätzlich verursacht werden, etwa durch Fehler auf Seiten des Fahrzeugs, der cloudbasierten Verkehrssteuerung oder der Ampel. Oder auch durch Schadsoftware in den Geräten oder Überlastungsangriffen auf die Kommunikation zwischendrin. Sind die Risiken einmal erfasst, werden sie bewertet – das BSI schreibt: „Wie hoch ein Risiko ist, hängt sowohl von der Wahrscheinlichkeit einer Gefährdung ab als auch von der Höhe des Schadens, der dabei droht.“ Angesichts des drohenden Schadens ist es wohl inakzeptabel, wenn mehrere Signale an einer Kreuzung gleichzeitig auf „grün“ wären. Selbst wenn das nur einmal in 10 Jahren vorkäme und damit „sehr unwahrscheinlich“ wäre. Eine Risikomatrix soll bei der Beurteilung helfen.
Sollte die verantwortliche Person die Risiken als „hoch“ bewerten, wird zusätzlich eine Datenschutzfolgenabschätzung (DSFA) fällig; der Europäische Datenschutzbeauftragte (EDPS) erläutert:
„Mit dem DSFA-Prozess soll gewährleistet werden, dass die Verantwortlichen die Risiken ‚riskanter‘ Verarbeitungsprozesse in Bezug auf die Privatsphäre und den Datenschutz angemessen berücksichtigen. Durch eine strukturierte Herangehensweise an die Risiken für die betroffenen Personen und deren Eindämmung helfen Datenschutz-Folgenabschätzungen den Organisationen, die Anforderung des ‚Datenschutzes durch Technik‘ zu erfüllen, wo sie am dringendsten benötigt wird, d. h. bei ‚riskanten‘ Verarbeitungsvorgängen.“
Wichtig ist dem EDPS, dass die verantwortliche Person die „vorgesehenen Verarbeitungsvorgänge“, den Verarbeitungszweck und die damit verbundenen Risiken „systematisch“ beschreibt und die „zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren“ dokumentiert.
Risiken von Cyberattacken häufig noch unterschätzt
Dafür werden ihm Patient:innen und Verkehrsteilnehmer:innen sicher dankbar sein – egal ob sie nun zu Fuß, per Fahrrad und Kfz unterwegs sind. Offenbar ist das mit dem Risikomanagement nicht so einfach:
Vor einem Jahr bescheinigte eine Studie der Hochschule Luzern Großunternehmen in der Schweiz Schwächen beim Risikomanagement. Dies wiederum führe zu einem „mangelhaften Verständnis über den tatsächlichen Cyber‐Risikoumfang bei den Aufsichtsorganen."
Wenn schon in bei Großunternehmen die Risiken nur mangelhaft erkannt werden, ist es keine Überraschung, dass es auch bei KMU immer wieder zu Datenschutz-Pannen kommt. So unterschätzen kleinere Unternehmen im Nordosten Deutschlands die Cyberrisken ebenfalls, die Bayerischen Volksbanken werfen den Unternehmen „häufige Fehler“ vor und die öffentliche Verwaltung soll „bei IT-Sicherheit eigenem Anspruch hinterher"-hinken soll. „Massive Datenlecks“ scheinen den Vorwurf zu bestätigen. Solche entstehen immer wieder, weil der Mensch seiner angeborenen Bequemlichkeit folgt: „In vielen Fällen sind Mitarbeiter jedoch einfach unaufmerksam oder gehen fahrlässig mit ihren Anmeldeinformationen um und öffnen dadurch die Tür für Datendiebstahl durch externe Angreifer“. Da könnte die verantwortliche Person fix in den Verdacht einer Pflichtverletzung geraten.
Das Oberlandesgericht Nürnberg warnt:
"Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen; weiterhin muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten."
Pflichtverletzungen können teuer werden
Wegen solch einer Pflichtverletzung wurde ein Geschäftsführer eines Kleinunternehmens mit 13 Mitarbeitenden zu einem Schadenersatz von „788.933,31 € nebst Zinsen hieraus in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit 31.05.2018“ verdonnert. In Großbritannien wurde gegen die Firma Interserve eine „4,4 Millionen Pfund Strafe wegen Verletzung des Datenschutzes der eigenen Mitarbeiter“ verhängt:
„Die Untersuchung der (Aufsichtsbehörde, Anm. d. Autors) ICO ergab, dass Interserve nicht über geeignete OTM verfügte, um einen Cyberangriff zu verhindern, der dazu führte, dass Hacker im Mai 2020 über eine Phishing-E-Mail auf die personenbezogenen Daten von bis zu 113.000 Mitarbeitern zugreifen konnten. Zu diesen Daten gehörten Informationen wie Kontaktdaten, Sozialversicherungsnummern und Bankkontodaten sowie besondere Datenkategorien wie ethnische Herkunft, Religion, Angaben zu etwaigen Behinderungen, sexuelle Orientierung und Gesundheitsinformationen.
Phishing-E-Mails enthalten Links oder angehängte Dateien, die, wenn sie angeklickt werden, Viren oder andere Malware herunterladen, die es Cyber-Angreifern ermöglichen können, auf das gesamte Netzwerk des Unternehmens zuzugreifen. Diese E-Mails sind oft so getarnt, dass sie aussehen, als kämen sie von einem bekannten Kollegen, Kunden oder Lieferanten.“
Überwachung auf Cyberattacken in Echtzeit statt Defensive
Die Konsequenzen solcher Sorglosigkeit lassen sich steigern: Um eine lawinenartige Ausbreitung von Schadsoftware unter den künftig Milliarden breitbandig vernetzten Implantaten, Fahrzeugen, Verkehrsampeln und anderen Dingen zu vermeiden, wird die Überwachung der Angriffsoberfläche „in Echtzeit“ empfohlen:
„Denn in 4G-Netzen konzentrierte sich die Angriffsfläche auf Geräteebene hauptsächlich auf einige wenige Arten von Geräten wie Smartphones, Tablets und LTE-Router. Mit 5G werden jedoch Milliarden von IoT-Geräten am Bedrohungshorizont auftauchen. Das IoT ist eine ‚niedrig hängende Frucht‘ für Angreifer, da laut Unit 42 (dem Bedrohungsforschungszweig von Palo Alto Networks) 98 % des gesamten IoT-Datenverkehrs unverschlüsselt ist, was bedeutet, dass persönliche und vertrauliche Daten im Netzwerk offen zugänglich sind. Viele IoT-Geräte sind leider nicht für eine derartige Umgebung ausgelegt.“
Ähnlich ist das mit den Bedrohungen:
„Cybersicherheitspraktiken werden bald über die bloße Schadensbegrenzung und Reaktionsfähigkeit hinausgehen. Jedes Unternehmen, das sich im Bereich der Cybersicherheit verteidigen will, wird Bedrohungsdaten und Sicherheitsanalysen in seinem gesamten Technologiepaket einsetzen. Das bedeutet Echtzeitüberwachung von Bedrohungen und Protokollierung von Vorfällen, gepaart mit parallelen prädiktiven und gleichzeitigen Analysen (...) Es reicht nicht aus, nur defensiv zu sein, wenn es um Cybersicherheit geht - Unternehmen müssen diese Informationen aktiv überwachen und in Echtzeit darauf reagieren.“
Ist das nun schon Stand der Technik oder wird das erst noch?
Künftige Pannen vernetzter Implantate, Autos, Verkehrsampeln und Photovoltaikanlagen könnten nicht mehr nur Schadenersatz und Geldbußen verursachen, sondern auch das Interesse der Staatsanwaltschaft wecken. Jens Ferner, Fachanwalt für Strafrecht & Fachanwalt für IT-Recht erläutert unter der Überschrift "Haftung der Geschäftsführung für IT-Sicherheitslücken":
"Dabei dürfte allgemeinen Pflichten der IT-Sicherheit im Rahmen der Verkehrssicherungspflicht besondere Bedeutung zukommen, was bisher durchaus unterschätzt wird.
Gehobene Bedeutung hat hierbei ein Verstoß gegen Normen des Strafrechts, etwa bei einer fahrlässigen Körperverletzung oder gar Tötung, wie sie zuletzt bei dem geglückten Hackerangriff einer Universität (Düsseldorf) samt Uniklinikum aufgetreten ist. Dieses, zu vertiefende, Beispiel verdeutlicht zugleich in tragischer Weise, wie nicht nur Angreifer, sondern auch Opfer einer „Cyberattacke“ gemeinsam im strafrechtlichen Fokus stehen können: Denn wer eine 'Cyberattacke' erst durch die Missachtung gängiger Sicherheitsstandards ermöglicht, handelt nicht nur zivilrechtlich, sondern auch strafrechtlich, fahrlässig. Dass dies nicht zwingend zu einer Strafbarkeit führen muss, wohl aber zu einer solchen führen kann, wird in einer beispielhaften Betrachtung ausgeführt werden."
Fazit: Datenschutz bei der Digitalisierung geht alle etwas an!
Mit fortschreitender Digitalisierung entsteht zunehmend Bildungsbedarf – nicht nur bei den nach DSGVO Verantwortlichen, sondern auch bei denen, die in ihrem Auftrag Software planen, entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Geräte zu steuern, personenbezogene Daten damit zu verarbeiten sowie das jeweilige – nachweisbar qualifizierte! – Personal einstellen. Sowie bei denjenigen, die die Projekte der Verantwortlichen finanzieren und versichern.
Das führt zu neuen Fragen in der Zukunft: Was muss die Erstsemesterin in der Informatik, der Medizin, der Ingenieurwissenschaften, der Psychologie oder der Betriebswirtschaftslehre innerhalb der nächsten fünf Jahre lernen? Schließlich soll sie künftig nicht nur in der Lage sein, die jeweilige Funktionalität oder das gewünschte Arbeitsergebnis herzustellen, sondern auch noch die damit verbundenen Risiken und Rechtsfolgen verantwortungsbewusst zu bewältigen.
Die Rechenschaftspflicht nach DSGVO hilft den Verantwortlichen, die Digitalisierung – die interdisziplinäre Superaufgabe dieses Jahrhunderts – zu bewältigen.
Joachim Jakobs ist freier Journalist und beschäftigt sich mit den Tücken der Digitalisierung.