Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 12. Technik und Organisation
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020
12. Technik und Organisation
12.1. Künstliche Intelligenz
12.1.1. Künstliche Intelligenz im Gegensatz zu menschlichem Verstehen
Während Themen wie "Cloud" und "Blockchain" sich immer mehr etablieren, rückte eine im Gebiet der Informatik eigentlich schon sehr alte Technologie, die erstmals 1955 als Begriff im Rahmen eines Forschungsprojekts genannt wurde, in letzter Zeit erneut in den Fokus: Künstliche Intelligenz (KI).
Weltweit werden erhebliche Ressourcen in die Weiterentwicklung dieser Technologie investiert, die versucht, menschliche Denkprozesse zu imitieren: Mustererkennung und maschinelles Lernen werden genutzt, um einen Grad von "schlauem" Verhalten und Leistungsfähigkeit zu erreichen, der sich mit statischen Handlungsanweisungen derzeit nicht erzielen lässt. Text- und Spracherkennung haben ihren Weg auf Smartphone, Büro und Auto gefunden. Bilderkennung ermöglicht medizinische Analysen, "Robo-Advisors" übernehmen die Geldanlage, KI-gesteuerte Fahrzeuge fahren schon jetzt zumindest teilautonom auf den Straßen. So hat sich die Technologie aufgrund ihrer Überlegenheit bei bestimmten Aufgaben schrittweise und zum Teil unbemerkt etabliert. So wurde meist nicht ein bestehendes System in Gänze ersetzt, sondern einzelne Teilprozesse wurden aus Effizienzgründen an eine KI ausgelagert.
Als KI werden im Folgenden Systeme und digitale Verarbeitungsprozesse zusammengefasst, in denen ein oder mehrere, auf KI-Technologie basierende Teilkomponenten zum Einsatz kommen. Eine wissenschaftlich exakte Definition des Begriffs "Künstliche Intelligenz" existiert bisher nicht. In der Bundesrat Drucksache 19/1982 wird KI aber beispielswiese wie folgt definiert:
"Künstliche Intelligenz (KI) ist ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können. Diese Systeme haben die Eigenschaft, aus neuen Daten zu lernen und mit Unsicherheiten umzugehen, statt klassisch programmiert zu werden."
Künstliche Intelligenz unterscheidet sich
- von Algorithmen dahingehend, als dass KI Lösungswege selbst im Rahmen des Trainings entwickelt (und verbessert), während Algorithmen festgelegten Entscheidungsbäumen deterministisch folgen. Somit muss die exakte Logik eines Verarbeitungsprozesses den Entwicklerinnen und Entwicklern von Algorithmen im Voraus bekannt sein, um dann von ihnen explizit programmiert zu werden. Auf diesen (aufwändigen) Schritt kann im Fall von KI verzichtet werden. Der Ansatz hier kommt ohne das echte Verständnis der eigentlichen Logik hinter dem Prozess aus. Stattdessen wird KI mithilfe von Eingaben und gewünschten - oder nicht gewünschten - Ausgaben soweit trainiert, dass diese dann auch bei vorher unbekannten Testfällen mit hoher Wahrscheinlichkeit (oder zumindest geringer Fehlerrate) die gewünschte Ausgabe/Entscheidung/Handlung erbringt;
- von Machine Learning (ML) insofern, als dass ML eine Grundlagentechnologie für KI darstellt;
- von Big Data insofern, als dass KI selbständig aus Daten Cluster bilden und (statistische, nicht aber logische) Zusammenhänge erkennen kann. Sie beschränkt sich nicht auf Analysen, sondern fällt auf Basis der ihr zur Verfügung stehenden Informationen autonom Entscheidungen oder setzt diese im Rahmen ihrer Möglichkeiten sogar direkt in Handlungen um. Trotzdem kann sie gegenwärtig in der Regel nur Kookkurrenzen, also mehrfaches Auftreten von Mustern oder Wörtern im selben Umfeld oder Korrelationen, also statistische Zusammenhänge finden; die zugrundeliegenden Kausalitäten und Wirkzusammenhänge "hinter" den Daten, also das "Warum" erschließen sich ihr noch nicht, das heißt, sie kann zwar ihr Verhalten auf ein Ziel hin optimieren, entwickelt aber kein "echtes" Verständnis für ihre Aufgabe und den Sinn dahinter.
Künstliche Intelligenz kann bestimmte Aufgaben mit höherer Effizienz und möglicherweise geringerer Fehlerquote erledigen als Menschen. Ohne echtes Verständnis für ihre Aufgabe, menschliches Einfühlungsvermögen, Werte und ohne "gesunden Menschenverstand" bleibt KI im Ergebnis aber momentan noch ein - wenngleich "intelligentes" - Werkzeug.
12.1.2. Strategische Förderung der KI-Entwicklung
Mit der im April 2019 verkündeten Strategie BAYERN DIGITAL positioniert die Staatsregierung Bayern als Leitregion für Digitales. Das Programm umfasst ein Investitionsvolumen von sechs Milliarden Euro bis 2022 und wird kontinuierlich weiterentwickelt. In einer Regierungserklärung veröffentlichte der Bayerische Ministerpräsident Dr. Markus Söder im Oktober 2019 die "Hightech Agenda Bayern" mit einem Investitionsvolumen von zwei Milliarden Euro.
Davon sollen Teile in den Ausbau eines landesweiten KI-Forschungsnetzes ("KI-District Bayern") und die Schaffung von 100 KI-Professuren fließen. In München soll ein KI-Zentrum von Weltrang mit dem Schwerpunkt intelligente Robotik etabliert werden, aber auch weitere KI-Spitzenzentren mit klaren Kompetenzschwerpunkten sind geplant, wie etwa in Würzburg (Data Science) oder Nürnberg (Anwendung neuer KI-Felder).
KI-Forschungskompetenzen sollen auch an regionalen Standorten gestärkt werden, so in Kempten (Pflege), Schweinfurt (Robotik), Deggendorf (Anwendungen für kleine oder mittlere Unternehmen und Landwirtschaft), Aschaffenburg (Medizin). Neben der Stärkung der Informatik als Fach an allen Hochschulen soll das Leibniz-Rechenzentrum zum informationstechnischen Kompetenzknoten für Big Data und KI ausgebaut werden.
12.1.2.2. Bundesweite KI-Strategie
Die Bundesregierung präsentierte im November 2018 eine nationale Strategie Künstliche Intelligenz mit der sie die wesentlichen Rahmenbedingungen vorgibt. Die Strategie ist als "lernend" angelegt, die es kontinuierlich gemeinsam durch einen umfassenden demokratischen Prozess und Diskurs in Politik, Wissenschaft, Wirtschaft und Zivilgesellschaft zu justieren gilt. Es geht dabei um die Auseinandersetzung mit individuellen Freiheits- und Persönlichkeitsrechten, Hoffnungen und Ängsten auf der einen Seite, aber auch den Potenzialen und Erwartungen für deutsche Unternehmen, den weltweiten Wettbewerb auf der anderen Seite. So zielt sie darauf ab, "KI Made in Germany" zu einem internationalen Markenzeichen für moderne, sichere KI auf Basis des europäischen Wertekanons zu etablieren.
12.1.2.3. Datenethikkommission
Die Auswirkungen von Künstlicher Intelligenz auf Wirtschaft und Gesellschaft werden als von so grundlegender Bedeutung eingeschätzt, dass sich unter anderem auch die Datenethikkommission der Bundesregierung auf ihrer öffentlichen Tagung am 7. Februar 2019 dem Thema "Selbst- und Fremdbestimmung im Zeitalter künstlicher Intelligenz" und damit verbundenen, aktuellen technosozialen Entwicklungen widmete. Ihre wesentlichen Überlegungen hat die Datenethikkommission mittlerweile in einem Gutachten niedergelegt.
12.1.3. Künstliche Intelligenz und Datenschutz
12.1.3.1. Nutzung von personenbezogenen Daten
Künstliche Intelligenz gilt als Innovationstreiber und Wachstumschance. Sie kann als sinnvolles Hilfsmittel die Arbeits- und Lebenswelt gewinnbringend verändern. Sie kann insbesondere stupide, repetitive Aufgaben übernehmen, bei Entscheidungsfindungen, Korrekturen, Einschätzungen, Recherchen oder Auswertungen unterstützen, Prozesse beschleunigen und völlig neue Unterstützungsmöglichkeiten in verschiedenen Lebensbereichen eröffnen. Dabei profitiert sie von vorausgehenden und aktuellen Entwicklungen der Digitalisierung wie etwa der zunehmenden Verbreitung vernetzter elektronischer Geräte und der Leistungssteigerung von Datenübertragung, -speicherung und -berechnung.
Wie viele andere Technologien birgt KI allerdings auch schwer einschätzbaren Risiken - sowohl direkt auf den verschiedenen Ebenen und Prozessschritten der Verarbeitung und den dadurch getroffenen Entscheidungen als auch indirekt durch möglicherweise entstehende Ungerechtigkeiten sowie soziale, wirtschaftliche und kulturelle (Seiten-)Effekte.
Umfangreiche Datenerhebungen stellen die Grundlage für statistische Erkenntnisgewinne und deren Qualität dar: Je mehr Datensätze und je größer die Stichprobe, desto verlässlichere Aussagen und Erkenntnisse können erzielt werden und desto kleinere Fehlerraten sind möglich. Dieser grundsätzliche Zusammenhang gilt analog für das Training und den Einsatz Künstlicher Intelligenz. So ist es verständlich, dass bei Entwicklern und Betreibern leistungs- und konkurrenzfähiger KI-Systeme ein enormer Datenhunger besteht. Soweit personenbezogene Daten verarbeitet werden, regelt allerdings insbesondere die Datenschutz-Grundverordnung den Schutz der Betroffenen und schützt deren digitaler Bürgerrechte und Freiheiten. So kommt es vor, dass Datenschutz im KI-Umfeld als Hindernis und unnötiger Kostenfaktor wahrgenommen wird. Regulierungsgegner sprechen dann vereinzelt von "Sand im Getriebe" eines ansonsten leistungsfähigen Innovations- und Wachstumsmotors und verweisen auf den Vorsprung anderer Nationen wie etwa der Vereinigten Staaten von Amerika oder der Volksrepublik China.
Das ist aber nicht der europäische Weg. Dieser besteht in der Entwicklung von KI, die im Einklang mit den zentralen europäischen Grundwerten steht. Dazu gehört u.a. die Achtung der Menschenwürde. Diesem Weg einer menschenzentrierten KI hat sich die Staatsregierung ausdrücklich angeschlossen.
Auch die Bundesregierung betont bereits im Eckpunktepapier der Strategie Künstliche Intelligenz die Datenschutz-Grundverordnung als "einen verlässlichen gesetzlichen Rahmen für innovative Technologien und Anwendungen auch im Bereich der KI. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten". So schaffe der Datenschutz erst kontrollierte und kontrollierbare Bedingungen, unter denen KI grundsätzlich sicher und fair genutzt werden kann, ohne dass schutzwürdige Interessen, Rechte und Freiheiten verletzt oder gefährdet werden.
Hier wird Datenschutz nicht als Wettbewerbsnachteil, sondern als Qualitätsmerkmal und damit als Chance und als Wettbewerbsvorteil gesehen. "KI made in Germany" respektive "in Europa" soll als Qualitätssiegel Produkte und Dienstleistungen aufwerten. Die eventuell initial höheren Kosten für die Einhaltung des Datenschutzes bei der Verarbeitung der Daten können dabei durch das größere Vertrauen und die in der Folge zu erwartende schnellere und breitere Akzeptanz am Markt zumindest ausgeglichen werden.
So zielt der europäische Weg nicht auf ein hemmendes Gegeneinander zwischen KI-Entwicklung und Datenschutz, sondern auf ein ausgeglichenes Miteinander ab, wobei sichergestellt sein muss, dass rechtliche Regelungen eingehalten werden. Die Datenschutz-Aufsichtsbehörden in Deutschland und Europa arbeiten auf verschiedenen Ebenen und möglichst gemeinsam mit Vertretern der Wirtschaft an der Umsetzung der gesetzlichen Regelungen in konkrete technische Anforderungen für KI-Systeme.
12.1.3.2. Kernpunkte und Herausforderungen
Das Recht auf Löschung (Art. 17 DSGVO, "Recht auf Vergessenwerden") lässt sich im Fall von einmal ins Training der KI eingeflossenen personenbezogenen Daten möglicherweise kaum umsetzen, ohne die KI zurückzusetzen und neu zu trainieren, was oft nicht wirtschaftlich umsetzbar ist. Deshalb ist insbesondere Art. 5 Abs. 1 Buchst. c DSGVO ("Datenminimierung") genau zu beachten, insbesondere wenn eine konkrete Verarbeitung von personenbezogener Details weder für die Erledigung der Aufgabe einer KI noch deren Training nötig ist. Beispielsweise muss eine KI für die optische Beurteilung einer Gewebeprobe auf Anzeichen für Krebs nicht zwingend sonstige personenbezogene Daten kennen. Sollte das Alter der betroffenen Person relevant für eine bessere Einschätzung der Probe sein, so ist möglicherweise das Geburtsjahr ausreichend und es muss nicht das exakte Geburtsdatum verwendet werden. Für das Training von selbstfahrenden Autos sind Videodaten erforderlich - trotzdem ist es für das Erlernen der Fahrfähigkeit nicht immer erforderlich, dass Gesichter menschlicher Verkehrsteilnehmer erkennbar sind.
Auch wenn die Trainingsdaten vorab pseudonymisiert worden sind, kann es sein, dass durch die schiere Menge an Datenpunkten derselben Person, diese wieder eindeutig zugeordnet und so die Pseudonymisierung wieder rückgängig gemacht werden kann. Darüber hinaus können selbst bei vollständiger Anonymisierung durch eine (bewusste oder unbewusste) Ungleichgewichtung bei der Auswahl der Trainingsdaten (sog. Bias) in der Folge unerwünschte oder unzulässige Diskriminierungseffekte auftreten.
Insbesondere bei Datenverarbeitungen in der öffentlichen Verwaltung ist bei Künstlicher Intelligenz des Weiteren das Recht jedes Betroffenen zu beachten, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO).
Zudem hat der Betroffene nach Art. 12 DSGVO das Recht auf transparente Information und Kommunikation. Einzelentscheidungen fällt eine Künstliche Intelligenz jedoch typischerweise wie eine "Blackbox", das heißt, es ist nicht von außen einseh- oder nachvollziehbar, wie sie zu einer Entscheidung gekommen ist, sie liefert keine Begründung oder Kommentar, sondern präsentiert nur das Ergebnis oder handelt danach. Worauf sie die Entscheidung im Einzelfall konkret stützt, lässt sich zwar aufgrund der Trainingsdaten mutmaßen , doch es gibt Fälle, bei denen KIs in zwar für Menschen als praktisch identisch wahrgenommenen Fällen völlig anders entscheiden. Gerade dann wäre eine Erklärung wünschenswert - oder sogar notwendig - wie es zu der konkreten Entscheidungsfindung gekommen ist. Nur so können Betroffene und Verantwortliche beurteilen, ob die Entscheidung auf angemessenen "Erwägungen" beruht oder auf einer Fehlgewichtung von Faktoren, die sich letztlich auf die Betroffenen diskriminierend auswirken. Aus Gründen der Transparenz und Nachvollziehbarkeit muss daher insbesondere vermehrt an KI mit erklärbarem und nachvollziehbarem Verhalten (sog. "explainable AI") geforscht werden.
12.1.4. Umfangreiche Gremienarbeit
Die Relevanz des Themas in Politik und Gesellschaft, der enge Bezug zum Datenschutz, wenn personenbezogene Daten verarbeitet werden, und die zukünftig wohl wachsende Verbreitung der Technologie auch im behördlichen Bereich veranlasste mich dazu, bestehende Kompetenzen in diesem Bereich auszubauen und mich sowohl beobachtend als auch konstruktiv auf mehreren Ebenen an Entwicklungen in diesem Bereich zu beteiligen.
12.1.4.1. Auf internationaler Ebene
Auf der 40. Internationalen Konferenz der Beauftragten für Datenschutz und Privatsphäre (ICDPPC) in Brüssel wurde eine Erklärung zu Ethik und Datenschutz im Bereich der Künstlichen Intelligenz verabschiedet. Diese definiert Ziele und Aufgaben einer zu bildenden, ständigen Arbeitsgruppe (ICDPPC Working Group on Artificial Intelligence), die sich mit den Herausforderungen durch die Entwicklung Künstlicher Intelligenzen befasst. Diese Arbeitsgruppe soll das Verständnis und die Einhaltung der Grundsätze dieser Entschließung durch alle an der Entwicklung von Systemen Künstlicher Intelligenz beteiligten Kreise fördern. Diese internationale Konferenz ist bestrebt, eine aktive öffentliche Debatte über digitale Ethik zu unterstützen, die auf die Schaffung einer stabilen ethischen Kultur und eines starken persönlichen Bewusstseins in diesem Bereich abzielt, weshalb ich mich an dieser Arbeitsgruppe beteiligt habe.
Nachdem im Januar 2019 die konstituierende Telefonkonferenz stattfand, nahmen bisher bis zu 19 Delegationen und Beobachter von Mitgliedern an der Arbeit der Arbeitsgruppe teil oder haben zumindest Interesse bekundet, zukünftig beizutreten.
Unter dem Vorsitz des Europäischen Datenschutzbeauftragten, der französischen Aufsichtsbehörde CNIL und des Privacy Commissioner for Personal Data Hongkong umfasste das Arbeitsprogramm der Arbeitsgruppe unter anderem:
- die Einrichtung gemeinsamer Sammlungen von Richtlinien und Grundsätzen zu KI, Datenschutz und Ethik sowie realen Fällen von Anwendungen der KI-Technologie, die für Ethik und Datenschutz relevant sind,
- die Vorbereitung von Erklärungen zum Verhältnis zwischen Ethik, Menschenrechten und Datenschutz im Bereich KI sowie über die wesentliche Notwendigkeit der Klärung von Fragen zur Rechenschaftspflicht und zu Haftungsfragen,
- die Vorbereitung einer Risikoanalyse für die Erhebung personenbezogener Daten aufgrund von Befangenheit und Diskriminierung und
- eine "Gap-Analyse" zur Entwicklung der Kapazitäten und Fachkenntnisse der Datenschutz-Aufsichtsbehörden für die Bearbeitung ethischer und datenschutzrechtlicher Fragen bei der Anwendung von KI-Systemen.
12.1.4.2. Auf europäischer Ebene
Die europäische Kommission hat die Expertengruppe "High-Level Expert Group on Artificial Intelligence" beauftragt, ethische Richtlinien für sog. "vertrauenswürdige" Künstliche Intelligenz (Trustworthy AI) zu erstellen.
Diese Expertengruppe hat zur Weichenstellung der künftigen Entwicklungen und Verwendung von KI einen Entwurf dieser Richtlinien verfasst, mit dem sie die Haltung der Europäischen Union gegenüber diesem Thema begründet. Dieser Entwurf wurde Ende 2018 veröffentlicht und bis Januar 2019 der breiten Öffentlichkeit Zeit für Feedback gegeben. Der Entwurf durchläuft derzeit einen Anpassungsprozess der in ein Abschlussdokument münden und Anfang 2020 vorgestellt werden soll.
Auch wenn ich selbst nicht Teil der Expertengruppe bin, habe ich doch die Gelegenheit genutzt, den Entwurf auf Datenschutz-Aspekte hin zu prüfen und zu kommentieren. Der Entwurf befasst sich ausführlich mit erforderlichen Eigenschaften und Richtlinien für "vertrauenswürdige" Künstliche Intelligenz und behandelt dabei unter anderem die unter Nr. 12.1.3.2 genannten Kernpunkte und Herausforderungen.
12.1.4.3. Auf nationaler Ebene
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat eine Taskforce "Künstliche Intelligenz" gebildet, an der ich mich ebenfalls beteiligt habe. Diese Taskforce bündelt Ressourcen und Kompetenzen, um qualifizierte und konstruktiv kritische Sichtweisen auf diese komplexe Technologie zu erarbeiten - mit besonderem Fokus auf dem Datenschutz sowie möglichen Risiken für die Rechte und Freiheiten betroffener Personen.
Hambacher Erklärung In diesem Zusammenhang wurde die "Hambacher Erklärung zur Künstlichen Intelligenz" (siehe Anlage 1) verabschiedet. Sie nennt beispielhaft den Einsatz von KI-Systemen in der Medizin, insbesondere in der Diagnose, in der Sprachassistenz und bei der Bewertung von Bewerbungsunterlagen in der Bewerberauswahl. Aus dem geltenden Datenschutzrecht werden sieben Anforderungen für KI-Systeme abgeleitet. So muss der Einsatz von KI-Systemen nachvollziehbar und erklärbar sein, den Grundsatz der Datenminimierung enthalten, Diskriminierungen vermeiden und benötigt technische und organisatorische Standards. Die Datenschutzaufsichtsbehörden wollen die Entwicklung begleiten und fordern Wissenschaft, Politik und Anwender auf, die Entwicklung von KI im Sinne des Datenschutzes zu steuern. Im Kern geht es darum, dass am Ende Menschen und nicht Maschinen über Menschen entscheiden.
Die Erklärung wurde auf der 97. Konferenz am 3. und 4. April 2019 auf dem Hambacher Schloss vorgestellt. Der historische Ort des Kampfes um die Freiheit war insofern passend, den Willen der Datenschutz-Aufsichtsbehörden zu verdeutlichen, für einen effektiven Grundrechtsschutz einzutreten und ihren Beitrag zur Sicherung von Freiheit in der digitalen Welt zu leisten.
Positionspapier der DSK Bei der Arbeit der Taskforce und dem gemeinsamen Verfassen der Erklärung wurde insbesondere Bedarf festgestellt, die rechtlichen Vorgaben der Datenschutz-Grundverordnung in technische Anforderungen für KI-Verfahren, deren Einsatz und Entwicklung umzusetzen. So wurde nach der 2. Sitzung der Taskforce "Künstliche Intelligenz" der Arbeitskreis Technik gebeten, Vorschläge für technische und organisatorische Ansätze zu erarbeiten, mit denen ein angemessener Datenschutz gewährleistet werden kann, insbesondere hinsichtlich der Erklärbarkeit, Transparenz und Nachvollziehbarkeit, der Beherrschbarkeit und Kontrollierbarkeit sowie von Datengrundlagen, Datenminimierung und Datensparsamkeit.
Die zur Umsetzung dieses Arbeitsauftrags vom Arbeitskreis Technik eingesetzte Unterarbeitsgruppe KI befasste sich daraufhin im Detail mit den Lebenszyklen eines KI-Systems: Designs des KI-Systems, Veredelung von Rohdaten zu Trainingsdaten, Training der KI-Komponenten, Validierung der Daten und KI-Komponenten sowie des KI-Systems, Einsatz des KI-Systems und die Rückkopplung von Ergebnissen werden am Maßstab von Gewährleistungszielen untersucht.
Mit dem im November 2019 veröffentlichten Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen soll Verantwortlichen im Umfeld von KI ein konkreter und verbindlicher Handlungsrahmen für die datenschutzrechtlichen Vorgaben an die Hand gegeben werden. Es soll verdeutlichen, dass der Einsatz von KI-Systemen und der Datenschutz vereinbar sind. Chancen und Möglichkeiten des Einsatzes von KI-Systemen werden durch Datenschutz nicht von vornherein verhindert. Damit wird Handlungssicherheit gesteigert und sichergestellt, dass das Grundrecht auf informationelle Selbstbestimmung auch in dem dynamischen, von KI-Systemen geprägten Umfeld gewahrt wird. Das Positionspapier soll auch den Dialog mit den relevanten Akteurinnen und Akteuren aus Politik, Wirtschaft, Wissenschaft und Gesellschaft wie den Verbrauchervereinigungen weiter intensivieren helfen.
12.1.5. Zusammenfassung und Ausblick
Künstliche Intelligenz beginnt sich als neue Technologie in Wirtschaft und Gesellschaft zu etablieren und ist bereits jetzt in einigen Bereichen kaum mehr wegzudenken. Aufgrund der umfangreichen Verarbeitung auch personenbezogener Daten bei Training und Einsatz von KIs und ihres steigenden Entscheidungs- und Handlungsspielraums wird der Datenschutz besonders relevant. Die Auseinandersetzung mit der Technologie offenbart jedenfalls eine Reihe von Risiken und Herausforderungen, die Fähigkeiten und Wachstumspotenziale mit geltendem (Datenschutz-)Recht in Einklang zu bringen. Daher werde ich mich auch weiterhin auf internationaler, europäischer und nationaler Ebene in Arbeitsgruppen beteiligen, um konstruktive Lösungen und Vorgaben für die Vereinbarkeit von KI und Datenschutz zu erarbeiten. Faire und sichere KI erhält so die Chance, sich als Vorbild mit dem Wettbewerbsvorteil Vertrauenswürdigkeit ("Trustworthy AI") auch über EU-Grenzen hinaus zu etablieren.
12.2. Aktuelles zur Datenschutz-Folgenabschätzung (DSFA)
Die Datenschutz-Grundverordnung richtet die vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen an den Risiken aus, die eine Verarbeitung für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Das wird in den Bestimmungen der Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO deutlich. Die in Art. 35 DSGVO geregelte Datenschutz-Folgenabschätzung (DSFA, dazu bereits mein 28. Tätigkeitsbericht 2018 unter Nr. 3.1.3) ist ein Verfahren, in welchem Risiken strukturiert ermittelt und bewertet sowie Gegenmaßnahmen festgelegt werden.
Bayerische öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen verpflichtet, wenn sie Verarbeitungen personenbezogener Daten durchführen, die von der Bayerischen Blacklist erfasst sind. Bei anderen Verarbeitungen müssen bayerische öffentliche Stellen individuell prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Über diese Prüfung sowie zum Instrument der Datenschutz-Folgenabschätzung im Allgemeinen informiert eine Orientierungshilfe.
Die Methodik der Datenschutz-Folgenabschätzung ist in einem gesonderten Arbeitspapier näher erläutert. Hier erfahren bayerische öffentliche Stellen Näheres über die Arbeitsschritte und über Hilfsmittel, die bei einer Datenschutz-Folgenabschätzung eingesetzt werden können. Das Arbeitspapier veranschaulicht die methodische Einführung an einer Fallstudie zu der Verarbeitungstätigkeit "Personal verwalten" aus der Stadt Fiktivia.
Eine Datenschutz-Folgenabschätzung (englisch: Privacy Impact Assessment - PIA) lässt sich methodisch gut mit dem sog. PIA-Tool durchführen, einer von der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) bereitgestellten Software, die kontinuierlich weiterentwickelt wird. Ergänzend zum PIA-Tool habe ich weitere Werkzeuge bereitgestellt, die einzelne Arbeitsschritte der Datenschutz-Folgenabschätzung erleichtern sollen. Der Einsatz dieser Werkzeuge ist in dem Arbeitspapier "Datenschutz-Folgenabschätzung - Methodik und Fallstudie" näher beschrieben. Es stehen jeweils Leerformulare zur Verfügung sowie Ausfüllbeispiele, die sich auf die Fallstudie aus dem Arbeitspapier beziehen.
Insgesamt können bayerische öffentliche Stellen nun auf detaillierte Anleitungen und Hilfsmittel zurückgreifen, wenn sie Datenschutz-Folgenabschätzungen durchführen müssen. Das Angebot harmoniert mit dem neuen IT-Grundschutz-Baustein "CON.2 Datenschutz" des Bundesamts für Sicherheit in der Informationstechnik sowie mit dem Standard-Datenschutzmodell (SDM).
Zur Durchführung einer Datenschutz-Folgenabschätzung erhalte ich regelmäßig Fragen, die ich gerne beantworte. Darunter befinden sich auch einige Grundsatzfragen:
- Falls eine Verarbeitung keine Datenschutz-Folgenabschätzung erfordert: Ist dann die gesamte DSFA-Thematik unbedeutend?
Auch wenn eine Datenschutz-Folgenabschätzung im Einzelfall nicht erforderlich ist, muss die betrachtete Verarbeitung dennoch mit der Datenschutz-Grundverordnung in Einklang stehen. Das muss nachgewiesen werden können (Art. 5 Abs. 2 DSGVO). Die Datenschutz-Folgenabschätzung dient dem Zweck, Risiken zu erkennen, zu bewerten und zu minimieren. Wissen über die Methodik der Datenschutz-Folgenabschätzung hilft deshalb stets, Verarbeitungen sicher einzurichten.
- Falls eine DSFA-pflichtige Verarbeitung nach wirksamer Umsetzung von geeigneten technischen und organisatorischen Maßnahmen datenschutzrechtlich sicher betrieben werden kann: Spielt dann die DSFA-Thematik keine Rolle mehr?
Das Ausgangsrisiko der betrachteten Verarbeitung, nicht das Restrisiko ist für die Beantwortung der Frage relevant, ob "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" besteht. Folglich ist für die Beurteilung, ob für einen bestimmten Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung erforderlich ist, das Risiko der Verarbeitung zu analysieren, das besteht, bevor technische und organisatorische Maßnahmen festgelegt und umgesetzt wurden.
- Wie sollte ein Team zusammengesetzt sein, das eine Datenschutz-Folgenabschätzung durchführt?
Festes Teammitglied ist zunächst eine Vertreterin oder ein Vertreter des Verantwortlichen, der die Datenschutz-Folgenabschätzung durchführt (vgl. Art. 35 Abs. 1 DSGVO). Weitere Teammitglieder sollten Fachkunde für die Themen "Prozesse der Verarbeitung", "technische Systeme und Dienste" sowie "verarbeitete personenbezogene Daten" einbringen. Daher sollten vertreten sein: das Sachgebiet, das den betroffenen Geschäftsprozess inklusive der darin verarbeiteten personenbezogenen Fachdaten verantwortet, das Sachgebiet. das für die IT-Unterstützung des betroffenen Geschäftsprozesses zuständig ist, sowie gegebenenfalls ein Sachgebiet mit besonderer Fachkunde im Datenschutzrecht.
Die oder der behördliche Datenschutzbeauftragte kann im Einzelfall ein Mitglied des Teams sein oder bei Bedarf zugezogen werden. Dabei kann seine Beratungsleistung unterschiedlich ausgeprägt sein. Zu beachten ist, dass die oder der behördliche Datenschutzbeauftragte entsprechend seinem gesetzlichen Auftrag eine Beratungsleistung erbringt. Die Arbeit eines DSFA-Teams darf nicht darauf hinauslaufen, dass die oder der behördliche Datenschutzbeauftragte die für eine Datenschutz-Folgenabschätzung erforderlichen Dokumente entwirft und die übrigen Teammitglieder Meinungsäußerungen dazu abgeben. Die Datenschutz-Folgenabschätzung ist Sache des Verantwortlichen; die Mitwirkung der oder des behördlichen Datenschutzbeauftragten dient der Qualitätssicherung. Davon abgesehen ist die oder der behördliche Datenschutzbeauftragte Verbindungsperson zur Datenschutz-Aufsichtsbehörde (vgl. Art. 39 Abs. 1 Buchst. d und e DSGVO).
- Muss jede Stelle ihre eigene Datenschutz-Folgenabschätzung durchführen oder kann eine schon existierende Datenschutz-Folgenabschätzung einer anderen Stelle oder eines IT-Lieferanten verwendet werden?
Die Nutzung von Synergieeffekten bei der DSFA-Durchführung ist nicht nur erlaubt (siehe etwa Art. 35 Abs. 1 Satz 2 DSGVO, Art. 14 Abs. 2 BayDSG), sondern aus Gründen einer datenschutzrechtlichen Standardisierung mit einhergehender höherer Qualität auch geboten.
Im Bereich der bayerischen öffentlichen Stellen gibt es zahlreiche vergleichbare oder sehr ähnliche Verarbeitungsvorgänge und damit eine Grundlage, jeweils eine Datenschutz-Folgenabschätzung als "Blaupause" zu erstellen und dann diese für mehrere Stellen zu verwenden. Da bei digitalisierten Verarbeitungsvorgängen alle drei gerade genannten SDM-Komponenten "Daten", "System" und "Prozess" für die Wiederverwendung einer Datenschutz-Folgenabschätzung hinreichend ähnlich sein müssen, wird oft noch die DSFA-Blaupause an die örtlichen Gegebenheiten der betrachteten Verarbeitung anzupassen sein. Trotzdem birgt dieses Vorgehen ein großes wirtschaftliches und qualitatives Potenzial.
Der Schlüssel für die Realisierung dieses Synergiepotenzials liegt bei den Herstellern relevanter IT-Systeme, bei den Stellen mit Federführung für die fachliche Gestaltung zentraler Fachverfahren sowie bei der koordinierten Zusammenarbeit und dem zielorientierten Austausch betroffener Stellen. Bei der Beschaffung von IT-Systemen sollten bayerische öffentliche Stellen stets prüfen, ob DSFA-Blaupausen benötigt werden. Ist dies der Fall, sollte dies bei der Formulierung der entsprechenden Ausschreibungstexte beachtet werden.
12.3. Emotet, Ransomware und andere Schadsoftware
Der Begriff Schadsoftware umfasst jegliche Art von ausführbarem Code, der unerwünschte Folgen für Nutzerinnen und Nutzer oder die von ihnen verarbeiteten Daten auslösen kann.
Während es sich bei Adware primär um ungewollte Einblendungen von Werbeanzeigen handelt, zielt Spyware bewusst auf das Entwenden von Zugangsdaten (etwa durch Passwortdiebstahl mittels Keylogger) oder andere kriminell verwertbare Daten ab. Im Sprachgebrauch am häufigsten genutzt wird der Begriff Virus, dessen Hauptziel die Infektion von Dateien und die eigene Verbreitung ist. Im Unterschied dazu versuchen Computerwürmer, sich selbst direkt über anfällige Netzwerkservices zu verbreiten. Eine Sonderform der Schadsoftware ist das Trojanische Pferd (Trojaner). Hier werden schadhafte Funktionen in einem vorgeblich nützlichen Programm oder einer unverdächtigen Datei versteckt, die das Opfer zur Ausführung oder zum Öffnen verleiten soll. Diese verdeckte, schadhafte Funktion kann eine der vorgenannten Formen haben, meist wird jedoch zuerst eine sogenannte Backdoor (Hintertür) geöffnet, die Angreifern einen oft unbemerkten Zugriff auf den Rechner ermöglicht. Über Backdoors können infizierte Rechner in Botnetze (unbemerkter Zusammenschluss vieler infizierter Rechner unter Kontrolle eines Angreifers) integriert werden, die zu unterschiedlichen Zwecken missbraucht werden können. Beispielsweise nutzen Cryptominer die Rechenleistung, um auf Kosten der Opfer Cryptowährung zu schürfen.
Neben den genannten vielseitigen Formen von Schadsoftware wies ich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 2.1.2 auf die Gefahren von Ransomware hin. Dabei handelt es sich um Schadprogramme, die Daten unerwünscht verschlüsseln und so den Zugriff im Rahmen eines Erpressungsversuches verhindern. Der Name setzt sich aus den englischen Wörtern Ransom (Lösegeld) und Software zusammen.
Neben Privatpersonen und Unternehmen zählen insbesondere auch staatliche Behörden, Kommunen und deren Einrichtungen zu den Angriffszielen. Bayerische öffentliche Stellen meldeten hierzu auch im Jahr 2019 eine relevante Anzahl von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO.
Bereits 2016 machte ich darauf aufmerksam, dass die Kommunikation per E-Mail ein Haupteinfallstor eröffne. Dies bestätigen die mir gemeldeten Fälle, in denen die Einschleusung in der Regel durch infizierte E-Mail-Anhänge erfolgte. Auffällig ist, dass die Angriffe inzwischen deutlich an Qualität gewonnen haben: Die schadhaften EMails sind immer besser getarnt und damit zum Teil sehr schwer von "normalen" EMails zu unterscheiden. Als Absender sind bekannte Kommunikationspartner angegeben. Häufig werden infizierte Anhänge wie etwa fiktive Rechnungen, Bestellbestätigungen, Bewerbungen, von einem Multifunktionsdrucker eingescannte Dokumente und dergleichen verschickt. Ebenso können auch Links auf schadhafte Webseiten oder Verweise auf vermeintlich herunterzuladende Dokumente aus einem Cloud-Speicher übermittelt werden. Werden diese Anhänge oder Links geöffnet, startet im Hintergrund die Installation der Schadsoftware. Diese wird zumeist von einem Server aus dem Internet nachgeladen.
Besonders häufig erfolgten 2019 Angriffe mittels "Emotet". Diese Schadsoftware ist sehr wandelbar und zudem in der Lage, besonders authentisch aussehende schadhafte E-Mails zu verschicken. Dazu liest die Schadsoftware Empfänger und Absender von bestehenden Kommunikationsverläufen sowie deren Inhalte auf bereits infizierten Rechnern aus und verwendet diese Informationen selbständig zur Weiterverbreitung. Auf diesem Weg erhalten die noch nicht betroffenen Empfängerinnen und Empfänger fingierte EMails von Absenderinne und Absendern, mit denen sie bereits in Kontakt standen. Gerade wenn dieser Kontakt erst kürzlich erfolgte, senkt dies die Hürde zum ungeprüften Öffnen der EMail oder der Anhänge. Insbesondere dadurch ist diese Angriffsmethode besonders erfolgreich.
Ist ein Befall mit Emotet erfolgt, greift die Schadsoftware zuerst vorhandene Kontaktdaten für die Weiterverbreitung ab. Zudem können durch Nachladen weiterer Schadsoftware wie "Trickbot" Active-Directory-Benutzerdaten (zentraler Benutzer-Verzeichnisdienst) angegriffen werden, um weiteren Schaden im lokalen Netzwerk zu verursachen. Insbesondere die gesamte Benutzerauthentifizierung - nicht nur die auf dem Rechner, auf dem der Schadcode entdeckt wurde - muss dann als kompromittiert betrachtet werden.
Da der eigentliche Schadcode gegebenenfalls erst zu einem späteren Zeitpunkt nachgeladen wird, bleibt Emotet auch bei aktivem Virenscanner regelmäßig lange unentdeckt und kann sich so getarnt auf den angegriffenen Systemen dauerhaft einnisten. Auch der Versuch einer Bereinigung ist daher oft nicht erfolgreich, so dass nur eine vollständige Neuinstallation zumindest der betroffenen Rechner eine vollständige Entfernung sicherstellt. Der nachgeladene Schadcode kann sowohl Ransomware als auch andere der genannten Schadsoftwarekategorien beinhalten.
Die folgenden Vorbeugemaßnahmen gegen Schadsoftware im Allgemeinen sollten umgesetzt werden. Sowohl Nutzerinnen und Nutzer als auch Administratorinnen und Administratoren sind hier gefordert:
- Regelmäßige Backups von Daten verhindern, dass Daten komplett verloren gehen. Der technische Zugriff auf das jeweilige Backup sollte nur zum Zeitpunkt der Erstellung bestehen, da die Schadsoftware sonst das Backup verschlüsseln, korrumpieren oder löschen kann. Backups sind regelmäßig auf Vollständigkeit zu prüfen.
- Aktuelle Betriebssystemversionen und ein regelmäßiges und zeitnahes Einspielen von Updates und Patches sind unabdingbar. Dabei muss regelmäßig überprüft werden, ob alle Updates/Patches erfolgreich eingespielt werden konnten und eventuell auftretende Probleme behoben werden. Es muss jederzeit nachweisbar sein, welchen Versionsstand die vorhandenen IT-Systeme haben.
- Ebenso wichtig sind aktuell gehaltene Virenscanner auf Clients und Servern. Dabei kann es sinnvoll sein, mehrstufiges Konzept mit unterschiedlichen Produkten zu wählen, um eine möglichst große Anzahl von Schadcode abfangen zu können. Ich weise allerdings vorsorglich darauf hin, dass auch dies keinen vollständigen Schutz darstellt, da gerade auch Emotet sehr variabel ist und unter Umständen im Antivirusprogramm noch keine aktuelle Virensignatur vorliegt.
- Nutzer sollten nur mit den minimal benötigten Rechten - und insbesondere nicht mit Administratorrechten - arbeiten.
- Eine Netzwerksegmentierung kann verhindern, dass Schadsoftware sich auf das gesamte Netzwerk ausbreiten kann.
- Wann immer möglich, sind Makros in Office-Dokumenten zu deaktivieren und nur sicherere Formate ohne Makros zu benutzten (etwa ".docx").
- Das automatische Nachladen externer Inhalte sowie Links sollten deaktiviert werden.
- Die Standard-Einstellungen in EMail-Programmen sollten so gewählt sein, dass EMails im Nur-Text-Modus gelesen und gesendet werden (keine HTML-E-Mails).
- EMails sollten mit Hilfe eines Spamfilters entsprechend markiert werden.
- EMails mit ausführbaren Dateien im Anhang (beispielsweise ".exe", ".scr", ".chm", ".bat", ".com", ".msi", ".jar", ".cmd", ".hta", ".pif", ".scf") sollten geblockt oder in Quarantäne geschoben werden. Da es aber eine Vielzahl von verschiedenen Dateiformaten gibt, kann es sinnvoll sein, stattdessen eine "White-List" zu verwenden und nur gewünschte Dateiendungen zuzulassen.
- Der Virenscanner eines E-Mail-Servers kann verschlüsselte Anhänge nicht scannen und ist somit an dieser Stelle wirkungslos. Der Anhang muss deshalb vor dem Öffnen mit dem lokalen Virenscanner (automatisch) überprüft werden.
- Eine Erweiterung des Notfallkonzepts um das Szenario "Schadsoftwarebefall" ist empfehlenswert, um im Angriffsfall schnell und effektiv reagieren zu können. Zu einem Notfallkonzept gehört für diesen Fall auch das Bereithalten von sicheren Bootmedien.
Die vom Bundesamt für Sicherheit in der Informationstechnik gegründete Allianz für Cybersicherheit bietet eine Vorlage für eine IT-Notfallkarte mit hilfreichen Hinweisen für Endnutzerinnen und Endnutzer an, die an zentralen Orten platziert werden können. Insbesondere die schnelle Verbreitung von Emotet zeigt erneut die Bedeutung einer Sensibilisierung der Beschäftigten darauf, dass auch EMails von bekannten Absendern nicht von vornherein als vertrauenswürdig angesehen werden dürfen.
Das Bundesamt für Sicherheit in der Informationstechnik hat auch Empfehlungen veröffentlicht, welche Maßnahmen bei einem festgestellten Schadcodebefall mit Emotet zu ergreifen sind. Aus Datenschutzsicht sind dabei insbesondere folgende Punkte zu klären:
- Die Logdateien (etwa der Firewall) sind in Bezug auf die Art und den Umfang des Angriffs und insbesondere hinsichtlich des Abflusses von personenbezogenen Daten zu überprüfen.
- Versandte E-Mails sind dahingehend zu überprüfen, ob der Schadcode weiterverbreitet wurde. Kann dies nicht zweifelsfrei ausgeschlossen werden, sollten alle Kommunikationspartnerinnen und Kommunikationspartner über den Schadcodebefall und die Gefahren für ihre eigenen Systeme informiert werden.
- Zu beachten ist, dass ein Befall mit Schadsoftware eine zu meldende Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO sein kann. Ich verweise hierzu auf meine Orientierungshilfe "Meldepflicht und Benachrichtigungspflicht des Verantwortlichen".
Nach einem Schadcodebefall müssen zudem umfassende Bereinigungsmaßnahmen ergriffen werden, und es muss ein gesicherter Wiederanlauf erfolgen. Andernfalls ist zu befürchten, dass der Schadcode nicht vollständig beseitigt ist oder noch infizierte Systeme die bereits bereinigten Systeme wieder anstecken. Auch hierzu findet sich ebenfalls Näheres in den Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik, unter anderem:
- Alle Rechner im Netz sind auf Auffälligkeiten zu überprüfen.
- Befallene Rechner sind ohne Ausnahme komplett neu unter Verwendung der aktuellen Betriebssystemversionen zu installieren. Dabei müssen sichere Bootmedien verwendet werden.
- Alle Rechner müssen regelmäßig mit Updates, Patches und einem aktuellen Virenschutz versorgt werden.
- Zum Zeitpunkt der Infektion vorhandene Zugangsdaten sind als kompromittiert zu betrachten. Alle Passwörter sind umgehend zu ändern.
12.4. Cyberabwehr Bayern
Seit Geltungsbeginn der Datenschutz-Grundverordnung haben sich meine Tätigkeiten im technischen und organisatorischen Bereich des Datenschutzes fortentwickelt. Prüfungen und Beratungen fanden zuvor in den zeitlich aufeinanderfolgenden, grundsätzlich getrennten Phasen "Prüfen" - "Bewerten" - "Mängelbehebung" statt. Durch die in Art. 33 Abs. 1 DSGVO verankerte Pflicht, Verletzungen des Schutzes von personenbezogener Daten möglichst binnen 72 Stunden zu melden, verschob sich meine Tätigkeit häufig bis hin zu einer aktuellen und fortlaufenden Begleitung des täglichen administrativen EDV-Betriebs der meldenden Stellen. Insbesondere Meldungen zu Schadcodebefall mit Trojanern (siehe Nr. 12.3) erfordern von mir eine zeitnahe Beratung, vereinzelt auch die Anweisung zu konkreten Maßnahmen.
Bei einigen zum Teil sehr schwerwiegenden Fällen hat es sich gezeigt, dass die betroffenen Behörden auf Grund ihrer Meldepflichten nicht nur mit mir Kontakt hatten, sondern auch mit anderen Stellen, die gesetzliche Aufgaben im Bereich der Cybersicherheit wahrnehmen. Gerade in akuten Lagen war es für die betroffene Stelle dann aufwendig, die unterschiedlichen Ansprechpartner zu informieren, und es oblag der betroffenen Stelle, die Anfragen und Tätigkeiten zu koordinieren.
Auch wenn es vereinzelt gelang, dass sich die beteiligten Behörden beispielsweise in einer gemeinsamen Telefonkonferenz zu einem Vorfall austauschten, so wurde deutlich, dass es an konkreten Ansprechpartnerinnen und Ansprechpartnern sowie an Schnittstellen mangelte und ein koordiniertes Vorgehen jedes Mal neu gefunden werden musste.
Als Konsequenz dieser Problematik hat die Bayerische Staatsregierung am 5. November 2019 ein Konzept zur Einrichtung einer neuen zentralen Informations- und Koordinationsplattform für Behörden mit Cybersicherheitsaufgaben, der "Cyberabwehr Bayern" beschlossen. Als gleichberechtigte Teilnehmer bilden das Cyber-Allianz-Zentrum Bayern im Bayerischen Landesamt für Verfassungsschutz, das Bayerische Landeskriminalamt, das Bayerische Landesamt für Sicherheit in der Informationstechnik, die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg, das Bayerische Landesamt für Datenschutzaufsicht und ich seit Januar die "Cyberabwehr Bayern".
Hauptziel ist eine bessere gegenseitige Information sowohl zu allgemeinen Gefahren im Bereich der Cybersicherheit und ein zielgerichtetes Vorgehen in konkreten Schadensfällen. Idealerweise erhalten von Cyberangriffen betroffene Stellen dadurch eine koordinierte und optimale Hilfe der einzelnen beteiligen Behörden in ihren jeweiligen Zuständigkeitsbereichen. Die Cyberabwehr Bayern ist keine neue Behörde und erhält keine neuen gesetzlichen Befugnisse oder Aufgaben. Wichtigstes Ziel für mich ist ein schneller und effizienter Austausch zwischen den beteiligten Behörden in Bayern zu cyberrelevanten Informationen, wie etwa durch regelmäßige, aber auch anlassbezogen einberufene Lagebesprechungen.
Neben der Erfüllung der Aufgaben als Datenschutz-Aufsichtsbehörde für von Cyberangriffen betroffene Stellen in meinem Zuständigkeitsbereich sehe ich mich auch als datenschutzrechtliches Kontrollorgan, das darauf achten wird, dass grundsätzlich keine personenbezogenen Daten zwischen den beteiligten Stellen im Rahmen der Cyberabwehr ausgetauscht werden und im berechtigten Einzelfall jede beteiligte Stelle nur dann personenbezogene Daten weitergibt und erhält, wenn es dafür die erforderliche Rechtsgrundlage gibt.
12.5. Anforderungen an Messenger-Dienste im Krankenhausbereich
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 7. November 2019 das Whitepaper "Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich" veröffentlicht, das auch auf meiner Homepage eingesehen und heruntergeladen werden kann.
Messenger-Dienste haben sich als neue Form der Kommunikation in unserer Gesellschaft inzwischen fest etabliert. Die damit einhergehenden neuen Möglichkeiten weisen auch für den Krankenhausbereich ein großes Nutzenpotenzial auf, bringen aber Risiken mit sich, wenn etwa Messenger-Dienste für die ärztliche Kommunikation eingesetzt werden. Der Austausch von Gesundheitsdaten mittels Messenger-Diensten führt in Hinsicht auf unterschiedliche Aspekte zu zahlreichen datenschutzrechtlichen Fragestellungen und Bedenken. Das neue Whitepaper der Konferenz beantwortet die aufgeworfenen Fragen und bringt Klarheit bezüglich der datenschutzrechtlichen Anforderungen für diesen Einsatzbereich von Messenger-Diensten.
Da Messenger-Dienste nur eine von zahlreichen anderen, im Krankenhausbereich bereits verwendeten oder zukünftig denkbaren IT-Anwendungen in App-Form sind, erwarte ich die Veröffentlichung entsprechender weiterer Whitepapers oder datenschutzrechtlicher Anforderungskataloge, die sich auf Fallgruppen typischer Verarbeitungen im Krankenhausbereich beziehen.
12.6. Überwachung des Auftragsverarbeiters bei Fernzugriff
Vor dem Hintergrund der fortschreitenden Digitalisierung bei den bayerischen öffentlichen Stellen wird bei mir immer häufiger nach datenschutzrechtlichen Anforderungen an einen Fernzugriff auf IT-Systeme gefragt, etwa im Fall von Wartungsarbeiten. Daher konkretisiere und ergänze ich nachfolgend meine bisherigen Ausführungen zum Fernzugriff auf IT-Systeme, die personenbezogene Daten verarbeiten.
Der bayerische Gesetzgeber hat für bayerische öffentliche Stellen in Art. 5 Abs. 3 BayDSG die im Rahmen der Fernwartung in aller Regel nicht ausgeschlossene Möglichkeit des (Fern-)Zugriffs auf personenbezogene Daten weitgehend den Regelungen der Auftragsverarbeitung unterstellt.
Wird im Rahmen von Fernzugriffen einem Auftragsverarbeiter oder einer diesem im Wesentlichen gleichgestellten Person der Zugriff auf personenbezogene Daten des Verantwortlichen rechtmäßig gewährt und werden personenbezogene Daten während eines Fernzugriffs auch tatsächlich verarbeitet, so müssen hinsichtlich der datenschutzrechtlichen Überwachung durch den Verantwortlichen folgende zwei Konstellationen voneinander unterschieden werden:
12.6.1. Synchrone Überwachung
Falls mindestens eine beim Verantwortlichen beschäftigte, geeignete Person (im Folgenden "Beobachterin" oder "Beobachter" genannt) die Fernzugriffsarbeiten des Auftragsverarbeiters durchgehend überwacht, genügt es, in einem Fernzugriffsprotokoll für den einzelnen Fernzugriff den Anfang, das Ende, den Zweck, die einzelnen Arbeiten, bei denen personenbezogene Daten verarbeitet wurden, sowie alle an dem Fernzugriff beteiligten Personen mit Bezeichnung der jeweils wahrgenommenen Rolle (so etwa: fernwartende Person, IT-Administratorin/IT-Administrator, Beobachterin/Beobachter) festzuhalten. In diesem Kontext ist eine Person grundsätzlich als geeignete Beobachterin oder geeigneter Beobachter anzusehen, falls sie vor dem Fernzugriff in die relevanten datenschutzrechtlichen und technischen Aspekte eingewiesen wurde, mit geeigneter Fachkunde alle während des Fernzugriffs ausgeführten datenschutzrelevanten Aktionen des Auftragsverarbeiters nachvollziehen und abbrechen kann sowie einen klaren Überwachungsauftrag erhalten hat.
Das Fernzugriffsprotokoll muss auf die technisch dokumentierten Zugriffsdaten, die während des Fernzugriffs automatisiert erstellt wurden, eindeutig verweisen. Das Fernzugriffsprotokoll und die dazugehörenden Zugriffsdaten müssen sicher und entsprechend der jeweils geltenden Aufbewahrungsfrist aufgehoben werden.
12.6.2. Asynchrone Überwachung
Ist dagegen die oben beschriebene synchrone Überwachung durch eine Beobachterin oder einen Beobachter im Ausnahmefall nicht möglich, sind durch den Verantwortlichen grundsätzlich alle Zugriffe des Auftragsverarbeiters auf personenbezogene Daten technisch automatisiert zu dokumentieren. Aus dieser Dokumentation muss auch der Zeitraum der Dokumentierung hervorgehen. Zudem muss ein Fernzugriffsprotokoll mit den gleichen Inhalten wie bei der synchronen Überwachung erstellt werden.
Eine solche lückenlose technische Dokumentation kann etwa in Form von Log-Dateien erfolgen. Diese werden typischerweise durch Standardfunktionen, die ein Hersteller für sein Fachverfahren anbietet, oder durch spezielle Zusatzsoftware, die Datenzugriffe geeignet aufzeichnen kann, erstellt.
Steht eine derartige Funktion für die automatisierte Erstellung von Log-Dateien nicht zur Verfügung, kann der gesamte Dialog des Fernzugriffs - also nicht nur die einzelnen, relevanten Datenzugriffe - ersatzweise durch den Verantwortlichen aufgezeichnet werden. Hierfür können beispielsweise IT-Werkzeuge verwendet werden, die lückenlos eine ganze Fernzugriffssitzung gleichsam wie in einem Video aufzeichnen.
Bei jeder asynchronen Überwachung muss im Nachgang zum stattgefundenen Fernzugriff eine Beobachterin oder ein Beobachter die Dokumentation zum Fernzugriff in Form von Log-Dateien oder in Form der beschriebenen Dialogaufzeichnung auf ihre datenschutzrechtliche Konformität prüfen. Die Prüfung kann je nach Umfang und Sensibilität der betroffenen personenbezogenen Daten auch stichprobenartig erfolgen. Bei vorliegender Konformität bestätigt die Beobachterin oder der Beobachter den Fernzugriff als datenschutzrechtlich unbedenklich im betreffenden Fernzugriffsprotokoll. Falls jedoch Mängel bei der datenschutzrechtlichen Prüfung festgestellt werden, hat die Dienststelle die Mängel - soweit möglich - zu beseitigen und eine künftige Wiederholung dieser Mängel risikoorientiert auszuschließen. Das dabei beschrittene Vorgehen sowie dessen Ergebnis sind ebenfalls im Fernzugriffsprotokoll zu vermerken. Das Fernzugriffsprotokoll sowie die technisch automatisiert erstellte Dokumentation sind wie bei der synchronen Überwachung aufzubewahren.
Die synchrone Überwachung ist grundsätzlich zu bevorzugen, da hier das Risiko von Datenschutzverletzungen insbesondere durch die sofortige Abbruchmöglichkeit der Beobachterin oder des Beobachters deutlich geringer ist.
Ergänzend weise ich auf weitere wichtige Regeln für einen (Fern-)Zugriff hin, die ich in der Orientierungshilfe "Auftragsverarbeitung" genauer dargelegt habe.
12.7. Meldungen von Datenpannen
Im Berichtszeitraum erreichten mich über tausend Meldungen nach Art. 33 DSGVO, insbesondere auch aus dem Gesundheits- und Sozialbereich.
In einer Vielzahl der gemeldeten Fälle wurden Daten versehentlich an nicht berechtigte Empfänger übermittelt. Häufige Fehlerquellen waren hier die unkorrekte Adressierung, eine fehlerhafte Zusammenstellung oder eine falsche Kuvertierung von Unterlagen, die in den betroffenen Stellen jeweils manuell ausgeführt oder angestoßen wurde. Auch die falsche Adressierung von E-Mails war ein häufiges Thema, insbesondere der Versand von Unterlagen per E-Mail an mehrere Adressatinnen und Adressaten, wobei jeweils alle Kenntnis vom Verteiler erhielten. Dies lässt sich leicht dadurch vermeiden, dass bei der Eingabe in den Header der E-Mail das "bcc"-Feld anstelle des "cc"-Feldes verwendet wird.
Bereits in mehreren früheren Tätigkeitsberichten habe ich auf die Problematik des Fehlversands durch Falscheingabe einer Telefaxnummer hingewiesen (siehe mein 27. Tätigkeitsbericht 2016 unter Nr. 5.5.3 und mein 28. Tätigkeitsbericht 2018 unter Nr. 3.1.6). Ausführliche Erläuterungen enthält zudem meine Orientierungshilfe "Datensicherheit beim Telefax-Dienst". Dennoch häuften sich zu meinem Bedauern gerade im Krankenhausbereich Meldungen unsachgemäßen Versands von vertraulichen Unterlagen an unberechtigte Empfänger per Telefax. Ich möchte nochmals hervorheben, dass gerade für die Übermittlung sensibler Daten wie Gesundheits- oder Sozialdaten der Telefaxversand nur in Ausnahmefällen, und wenn ja, dann exakt und kontrolliert genutzt werden sollte. Ferner sollte stets geprüft werden, ob nicht auch ein alternatives Kommunikationsmittel zur Verfügung steht und eine verschlüsselte elektronische Übersendung der Daten möglich ist.
In weiteren Fällen wurde ich darüber in Kenntnis gesetzt, dass dienstliche Notebooks und andere elektronische Geräte gestohlen oder vom Benutzer verloren worden waren. Diese Fälle zeigen, dass es zwingend nötig ist, sensible Daten auf mobilen Geräten verschlüsselt abzuspeichern oder sichere Lösungen über Fernzugriffe zu verwenden, bei denen die Daten zentral gehostet werden.
Aus den Meldungen ging weiterhin hervor, dass auch Behörden, Kliniken, Universitäten und andere öffentliche Stellen in größerem Umfang von Hackerangriffen, Schadsoftware oder Systemausfällen betroffen sind. So wurden mir immer wieder Fälle gemeldet, bei denen sich Schadsoftware im internen Netzwerk verbreiten konnte. Dass Schadsoftware in die Netzwerke der betroffenen Organisationen eindringen konnte, lag bedauerlicherweise oft daran, dass zu wenig Personal- und Sachmittel in die unabdingbare Gewährleistung von Basis-IT-Sicherheit investiert wurden. Es sollten in jedem Fall die Verwendung von aktuellen Betriebssystemversionen und das Einspielen von Sicherheitsupdates sowie der Einsatz von aktueller Virenschutzsoftware sichergestellt sein. Zudem müssen Maßnahmen hinsichtlich des Umgangs mit E-Mails und der Internet-Nutzung ergriffen werden.
Im Zuge der Nutzung von Telearbeit erreichten mich wiederholt Meldungen über einen unsachgemäßen Umgang mit sensiblen vertraulichen Daten durch Bearbeiterinnen und Bearbeiter sowie über die daraus resultierende Offenlegung personenbezogener Daten an nicht berechtigte Personen, entweder beim Transport von Unterlagen zum Standort der Telearbeit oder am Standort der Telearbeit selbst. In einem Fall hatte eine öffentliche Stelle den Verlust mehrerer Dutzend Patientenakten im öffentlichen Personennahverkehr zu beklagen, die ein ehrlicher Finder glücklicherweise bei der Polizei abgab. Wie in meinem 25. Tätigkeitsbericht 2012 unter Nr. 2.1.4 dargelegt, wird deutlich, dass es wesentlich ist, entsprechende technische und organisatorische Maßnahmen zu ergreifen, um den Aktentransport zu regeln. Insbesondere sollten personenbezogene Unterlagen ausschließlich in verschlossenen Behältnissen transportiert werden. Falls öffentliche Verkehrsmittel benutzt werden, sollte zudem Sorge getragen werden, dass diese Behältnisse nicht unbeaufsichtigt abgestellt oder ganz vergessen werden.
Im Übrigen bestand im Berichtszeitraum bei einigen Verantwortlichen Unklarheit, ob Vorfälle nach Art. 33 DSGVO meldepflichtig sind. Zudem unterbleibt nicht selten die Benachrichtigung betroffener Personen nach Art. 34 DSGVO, weil das aus einem meldepflichtigen Ereignis folgende Risiko nicht zutreffend eingeschätzt wird. Zur Information der bayerischen öffentlichen Stellen über die Meldepflicht nach Art. 33 DSGVO und die Benachrichtigungspflicht nach Art. 34 DSGVO habe ich im Berichtszeitraum eine ausführliche Orientierungshilfe veröffentlicht, die insbesondere auch zu einer strukturierten Risikobeurteilung anleitet.
12.8. Beanstandungen, Sanktionen
Leider musste ich im Berichtszeitraum im Bereich des technisch-organisatorischen Datenschutzes mehrere Beanstandungen aussprechen. Beachtliche Verstöße gegen Vorschriften zur Datensicherheit hatten in diesen Fällen zu einer unbefugten Offenbarung von sensiblen personenbezogenen Daten geführt.
12.8.1. Beanstandungen und Sanktionen bei Krankenhäusern
Im Berichtszeitraum wurden gegenüber drei öffentlichen Krankenhäusern aufgrund von massiven Verstößen gegen die Anforderungen des technisch-organisatorischen Datenschutzes Beanstandungen nach Art. 16 Abs. 4 Satz 1 BayDSG ausgesprochen.
- In einem Fall kam es bei einem Klinikum über einen längeren Zeitraum zum Fehlversand von medizinischen Daten per unverschlüsselter E-Mail. Die Daten sollten ursprünglich für fachübergreifende Tumorkonferenzen genutzt werden und ausschließlich an die an der Behandlung beteiligten Ärztinnen und Ärzte versandt werden. Wie sich herausstellte, wurden die Patientendaten jedoch auch an Ärztinnen und Ärzte versandt, die nicht an der Behandlung beteiligt waren und auch nicht dem Klinikum angehörten. Insofern wurden die E-Mails unverschlüsselt über das Internet versandt. Ich habe diese Vorgehensweise beanstandet, weil die Fähigkeit der Vertraulichkeit der Systeme auf Dauer nicht sichergestellt war (Art. 32 Abs. 1 Buchst. b DSGVO). Das Klinikum wurde aufgefordert, seine Prozesse zum E-Mail-Versand zu überprüfen und entsprechende technische und organisatorische Maßnahmen zu ergreifen.
- Ein weiteres Klinikum wurde beanstandet, da es keine ausreichenden technischen Sicherheitsmaßnahmen ergriffen hatte, um einen Schadcodebefall zu verhindern, der zu einem mehrtägigen Komplettausfall der IT geführt hatte. Es handelte sich aus mehreren Gründen um eine massive Datenschutzverletzung: Die gemäß Art. 32 Abs. 1 Buchst. b und c DSGVO sicherzustellende Verfügbarkeit der elektronisch gespeicherten medizinischen Daten war über mehrere Tage hinweg nicht gegeben. Das Klinikum musste sich von der Notfallversorgung im Landkreis abmelden und die Patientenbehandlung musste auf Papier dokumentiert werden. Zudem konnte nicht vollständig ausgeschlossen werden, dass die Vertraulichkeit gemäß Art. 32 Abs. 1 Buchst. b DSGVO der Daten während des ganzen Zeitraums gegeben war und keine Daten das Krankenhaus verlassen haben. Die im entsprechenden Klinikum verbreitete Schadsoftware ist durchaus dafür bekannt, dass ihr Zweck auch das Ausspionieren von Systemen ist. Ein Hauptangriffsziel sind hierbei Passwörter und Zugangsinformationen um diese etwa für einen späteren gezielten Angriff zu nutzen. Häufig kommt es zudem zu einem E-Mail-Harvesting, das heißt, es werden die vorhandenen Kontakte genutzt, um den Virus weiter zu verbreiten. Weitere Informationen zum Thema Schadsoftware finden sich in diesem Tätigkeitsbericht unter Nr. 12.3.
Ursache des Vorfalls waren erhebliche Sicherheitsmängel beim Betrieb der IT-Systeme des Klinikums, insbesondere ein unzureichender Virenschutz und fehlende Updates für eine seit Jahren bekannte Schwachstelle im Betriebssystem sowie insgesamt die Nutzung veralteter Software. Da auch die Behebung dieser Sicherheitsmängel im Nachgang der Beanstandung eher schleppend verlieft, habe ich zudem eine Anweisung nach Art. 58 Abs. 2 Buchst. d DSGVO erlassen mit den vom Klinikum umzusetzenden technischen Sicherheitsmaßnahmen.
- In einem anderen Klinikum offenbarten sich diverse gravierende Mängel sowohl im Bereich des Faxversands als auch beim Betrieb des E-Mail-Servers, die zu einer Beanstandung geführt haben. Im diesem Klinikum waren über 150 Fax-Geräte im Einsatz, über die sensible Patientendaten an Empfänger sowohl innerhalb als auch außerhalb des Klinikums versandt wurden. Dabei kam es über einen längeren Zeitraum hinweg wiederholt zu Fehleingaben der Faxnummer, so dass sensible Daten in erheblichem Umfang bei unbeteiligten Dritten ankamen. Unter anderem aufgrund des hohen Risikos für Fehleingaben bei Faxnummern und der Risiken eines unsicheren Aufstellorts des Faxgeräts beim Empfänger eignen sich Faxgeräte nicht für die Übermittlung von vertraulichen Daten und sollten daher nur in dringenden, nicht anders zu erledigenden Ausnahmefällen verwendet werden, siehe auch Orientierungshilfe "Datensicherheit beim Telefax-Dienst".
Des Weiteren ließ dieses Haus den E-Mail-Server bei einem externen Dienstleister betreiben; außerdem war für alle Mitarbeiterinnen und Mitarbeiter des Klinikums die Möglichkeit zum Zugriff auf dienstliche E-Mails über Open Web Access von jedem beliebigen Gerät aus möglich. Wie ich schon in meinem 25. Tätigkeitsbericht unter Nr. 2.1.2 dargestellt habe, genügt der Zugriff über Open Web Access und die damit verbundene Nutzung von Privatgeräten nicht den Anforderungen des Datenschutzes. Der Betrieb des E-Mail-Servers bei einem externen Dienstleister verstößt zudem gegen Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz (BayKrG), da für eine Auftragsdatenverarbeitung nur andere Krankenhäuser genutzt werden dürfen.
Ein weiterer Mangel in diesem Krankenhaus trat im Zusammenhang mit dem Krankenhausinformationssystem und dessen Berechtigungskonzept auf. So zeigte sich, dass alle Patienten seit Einführung des Krankenhausinformationssystems über die Suchfunktion jederzeit auffindbar waren, falls deren Name und Geburtsdatum bekannt waren, auch wenn sie schon seit Jahren nicht mehr im Krankenhaus behandelt wurden. Wie in der Orientierungshilfe "Krankenhausinformationssysteme (2. Fassung) der Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder)" dargelegt, dürfen übergreifende Zugriffsrechte ausschließlich über einen protokollierten Sonderzugriff erfolgen, der im Klinikum zusätzlich vorhanden war, aber durch die reguläre Suchfunktion umgangen wurde.
Ferner erfolgte keine Sperrung von Patientendaten nach Entlassung, wie in meiner Orientierungshilfe gefordert. Die Daten der Patientinnen und Patienten befanden sich zwar nicht mehr im direkten Zugriff der Stationsgrafik, waren aber über die Suchfunktion jederzeit auffindbar. Somit ergab sich in diesem Fall die Möglichkeit der Offenlegung von sensiblen medizinischen Daten ohne Behandlungszusammenhang und damit eine schwerwiegende Verletzung der Vertraulichkeit dieser Patientendaten.
Seit Geltungsbeginn der Datenschutz-Grundverordnung im Mai 2018 sind neben dem Instrument der Beanstandung auch Sanktionen im Sinne des Art. 58 Abs. 2 DSGVO möglich. Zudem dürfen gegenüber einem Klinikum, das als Wettbewerbsunternehmen tätig ist, Geldbußen nach Art. 83 DSGVO verhängt werden (Art. 22 BayDSG).
12.8.2. Beanstandung des unbeabsichtigten Versands einer Excel-Datei mit Personaldaten
Eine Beanstandung musste ich aussprechen, weil eine öffentliche Stelle versehentlich eine Excel-Datei mit personenbezogenen Daten einer Gruppe von 45 Lehrerinnen und Lehrern per E-Mail unverschlüsselt an alle Gruppenmitglieder versendet hat. Beabsichtigt war, ein Arbeitsblatt mit Kontaktdaten zugänglich zu machen, um die Kommunikation unter den in vergleichbarer Funktion tätigen Lehrerinnen und Lehrern zu erleichtern. Die Excel-Datei enthielt jedoch weitere Arbeitsblätter, aus denen unter anderem eine umfassende Übersicht über die dienstlichen Beurteilungen der Jahre 2010 und 2014 (Beurteilungsprädikate) sowie Aufzeichnungen über das dienstliche Verhalten und die Amtsführung (wertende Aussagen über die Qualität von Arbeitsergebnissen, Tagungsteilnahmen und vereinzelt auch wertende Stellungnahmen anderer öffentlichen Stellen) ersichtlich waren. Diese Arbeitsblätter umfassten zudem Angaben von früheren Gruppenmitgliedern.
Unabhängig von der Frage, ob die versendete Datei Personalaktendaten im Sinne von § 50 Satz 2 Beamtenstatusgesetz (BeamtStG) enthält oder nicht, richtet sich die Zulässigkeit der Verarbeitung personenbezogener Daten der betroffenen Lehrerinnen und Lehrer nach § 50 BeamtStG und Art. 103 ff. Bayerisches Beamtengesetz (BayBG).
Gemäß Art. 103 Satz 1 Nr. 1 BayBG darf der Dienstherr personenbezogene Daten über aktive und ehemalige Beamtinnen und Beamte nur verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Nach Art. 103 Satz 2 BayBG darf die Verarbeitung nur durch solche Beschäftigte erfolgen, die vom Dienstherrn mit der Bearbeitung von Personalangelegenheiten betraut sind. Als Verarbeitung gelten gemäß Art. 4 Nr. 2 DSGVO auch die Speicherung, Verwendung und Offenlegung personenbezogener Daten. Personenbezogene Daten sind unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden sind, nicht mehr benötigt werden (vgl. Art. 17 Abs. 1 Buchst. a DSGVO).
Das Führen einer Tabelle mit personenbezogenen Daten von mehreren Beamtinnen und Beamten (insbesondere Beurteilungsprädikate und Daten zur Vorbereitung der dienstlichen Beurteilungen im Jahr 2014), soweit sie keinem der in Art. 103 BayBG genannten Zwecke dient, und der Versand dieser Datei an eine Vielzahl nicht zugangsberechtigter Empfängerinnen und Empfänger durch die öffentliche Stelle ist mit Art. 103 Satz 1 Nr. 1 und Satz 2 BayBG nicht vereinbar.
In dem Fall hat sich ein gut bekanntes Risiko realisiert, das dem Versand einer von einem Tabellenkalkulationsprogramm erstellten Datei, die oft auch als Arbeitsmappe bezeichnet wird, innewohnt. Eine solche Datei kann mehrere unterschiedliche Tabellenbereiche besitzen, die auch Arbeitsblätter genannt werden. Typischerweise wird nach dem Öffnen der Datei nur ein Tabellenbereich angezeigt, während eventuell daneben existierende Tabellenbereiche nur über eine zusätzliche Benutzeraktion aktiviert und damit sichtbar gemacht werden können.
Diese besondere Funktionsweise führt zu folgendem Risiko: Die Versenderin oder der Versender einer solchen Datei betrachtet vor dem Versand oft nur den gerade aktivierten Tabellenbereich und übersieht dabei, dass sich in anderen Tabellenbereichen der Datei sensible Daten befinden, die nicht mit versendet werden sollen.
Eine geeignete Datenschutz-Maßnahme gegen dieses Risiko ist beispielsweise, den Tabellenbereich, der versendet werden soll, zuvor im PDF-Format abzuspeichern und dann nur noch die PDF-Datei zu versenden.
12.8.3. Beanstandungen von Kommunen
Leider kam es im Berichtszeitraum auch im Bereich der Städte und Gemeinden zu Verstößen gegen die Anforderungen des technisch-organisatorischen Datenschutzes, die in Einzelfällen auch zu Beanstandungen geführt haben.
Eine größere Stadt wurde von mir beanstandet, weil es im Rahmen ihrer Aufgabe zur Verhinderung einer Obdachlosigkeit zu einer datenschutzwidrigen Form der Kontaktaufnahme mit einem Bürger im Rahmen einer Räumungsklage kam. Da der Bürger über eine konventionelle Kontaktaufnahme per Post oder persönlichen Besuch über einen längeren Zeitraum nicht zu erreichen war, brachte eine Mitarbeiterin des dortigen Sozialamtes ein Schreiben mit sensiblen personenbezogenen Daten, die dem Sozialgeheimnis unterliegen, offen an der Wohnungstüre des betroffenen Bürgers in einem großen Wohnkomplex mit etwa 45 Wohnungen an, obwohl der Bürger gemäß § 35 Abs. 1 Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - einen Anspruch darauf gehabt hätte, dass die ihn betreffenden Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden.
Ein Absehen von einer Beanstandung schied aus, weil dieser Verstoß nicht unerheblich war. Das offene Anbringen eines persönlichen Beratungsangebotes an der Wohnungstüre ist als solches keine geeignete Maßnahme zur Kontaktaufnahme, insbesondere wenn besonders schutzwürdige Daten offenbart werden. Zudem war davon auszugehen, dass eine unberechtigte Offenbarung von personenbezogenen Daten tatsächlich erfolgt war und nicht mehr ungeschehen gemacht werden konnte.
12.9. IT-System mit voreingestellten Zugangsdaten
Heute gilt bei sicherheitskritischen digitalisierten Verarbeitungsvorgängen eine Zwei-Faktor-Authentisierung als Mindeststandard. Gleichwohl gibt es weiterhin IT-Systeme, die eine sicherheitskritische Verarbeitung unterstützen und bei denen noch eine sogenannte Ein-Faktor-Authentisierung bei der Systemanmeldung einer Benutzerin oder eines Benutzers (Login) verwendet wird. Dabei ergibt sich die genaue Anzahl der Faktoren aus der Anzahl der Komponenten "Wissen", "Besitz" und "Biometrie", auf die beim Login in ein IT-System zurückgegriffen wird. Beispielsweise ist beim Login mit Hilfe einer von der Benutzerin oder dem Benutzer anzugebenden Kennung und dem dazugehörigen Passwort nur der Bereich "Wissen" einschlägig, so dass hier von einer Ein-Faktor-Authentisierung gesprochen werden kann. Erfährt in dieser Konstellation eine Person die Benutzerkennung und das Passwort einer anderen Benutzerin oder eines anderen Benutzers, so wird regelmäßig das Risiko einer unbefugten Datenverarbeitung deutlich erhöht.
Einige IT-Systeme besitzen nach ihrer Installation beziehungsweise nach ihrer Auslieferung voreingestellte Zugangsdaten. Bei einer derartigen Werkseinstellung kann regelmäßig davon ausgegangen werden, dass die vorkonfigurierten Benutzerkennungen und die dazugehörigen vorkonfigurierten Passwörter nicht geheim sind. Denn solche für ein IT-System standardmäßig existierende Logins können oft aus den Systemdokumentationen oder aus den relevanten Austauschplattformen betroffener Systemanwenderinnen und Systemanwender entnommen werden. Sehr gut bei der Suche nach diesen Türöffnern für IT-Systeme sind Cyberkriminelle, die typischerweise bei ihren Angriffen zunächst ausprobieren, ob vergessen wurde, vorkonfigurierte Benutzerkennungen mit neuen Passwörtern zu versehen. Daher kommt das Bundesamt für Sicherheit in der Informationstechnik unter anderem auch im Prozessbaustein "Identitäts- und Berechtigungsmanagement" seines IT-Grundschutz-Kompendiums 2019 folgerichtig zum Schluss, dass vorkonfigurierte Zugangsmittel vor dem produktiven Einsatz geändert, Standardpasswörter durch ausreichend starke Passwörter ersetzt und voreingestellte Logins geändert werden müssen.
Die Problematik voreingestellter Zugangsdaten wird nicht selten dadurch verschärft, dass mit umfangreichen administrativen Berechtigungen ausgestattete Systemzugänge betroffen sind und auch noch IT-Systeme auf dem Markt angeboten werden, bei denen vorkonfigurierte Benutzerkennungen technisch nicht geändert werden können.
Sind ab Werk vorkonfigurierte Benutzerkennungen unveränderbar, so kommt der Absicherung dieser Benutzerkonten mit einem jeweils geeigneten Passwort die entscheidende Rolle zu, wenn es darum geht, das Risiko einer unbefugten Datenverarbeitung zu verringern. Aktuell gehaltene Hinweise für geeignete Passwörter und deren Umgang gibt unter anderen das Bundesamt für Sicherheit in der Informationstechnik.
In diesem Zusammenhang ist datenschutzrechtlich Folgendes zu beachten:
Setzt eine Stelle ein IT-System ein, das personenbezogene Daten verarbeitet und das voreingestellte Zugangsdaten aufweist, so ist in der Risikoanalyse nach Art. 24, Art. 25 und Art. 32 DSGVO beziehungsweise in der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO von dieser Stelle geeignet nachzuweisen, dass wirksame Datenschutzmaßnahmen ergriffen wurden, um das von den voreingestellten Logins ausgehende datenschutzrechtliche Risiko auf ein vertretbares Maß zu reduzieren. Insbesondere muss nachvollziehbar sein, dass die vorkonfigurierten Passworte auf nur der einsetzenden Stelle bekannte Passworte gewechselt werden. Softwarehersteller sollten darauf achten, dass im Rahmen der Anforderungen von Art. 25 DSGVO nach datenschutzfreundlichen Voreinstellungen ein Passwortwechsel nach der Installation vom System angefordert wird und dieser zu jedem beliebigen Zeitpunkt einfach von der einsetzenden Stelle durchzuführen ist.
- Bundesministerium für Bildung und Forschung, Strategie Künstliche Intelligenz der Bundesregierung, Stand 11/2018, Internet: https://www.ki-strategie-deutschland.de (externer Link), Rubrik Downloads. [Zurück]
- Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission , Stand 10/2019, Internet: https://www.bmi.bund.de (externer Link), Rubrik Themen IT und Digitalpolitik Datenethikkommission Arbeitsergebnisse der Datenethikkommission. [Zurück]
- Bundesregierung, Eckpunkte der Bundesregierung für eine Strategie Künstliche Intelligenz, veröffentlicht mit Pressemitteilung des Bundesministeriums für Bildung und Forschung vom 18. Juli 2018, Internet: https://www.bmbf.de (externer Link), Rubrik Presse. [Zurück]
- Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen, Stand: 11/2019, Internet: https://www.datenschutzkonferenz-online.de (externer Link), Rubrik Infothek Entschließungen. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Datenschutz-Folgenabschätzung Bayerische Blacklist Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den bayerischen öffentlichen Bereich, Internet: https://www.datenschutz-bayern.de, Rubrik DSFA. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Datenschutz-Folgenabschätzung, Orientierungshilfe, Stand 3/2019, Internet: https://www.datenschutz-bayern.de, Rubrik DSFA. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Datenschutz-Folgenabschätzung Methodik und Fallstudie, Stand 10/2019, Internet: https://www.datenschutz-bayern.de, Rubrik DSFA. [Zurück]
- Nähere Erläuterungen und Download des PIA-Tools auf https://www.datenschutz-bayern.de, Rubrik DSFA. [Zurück]
- Einzelheiten auf https://www.datenschutz-bayern.de, Rubrik DSFA. [Zurück]
- Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Baustein CON.2 Datenschutz, Internet: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ (externer Link) CON/CON_2_Datenschutz.html. [Zurück]
- Das Standard-Datenschutzmodell beschreibt eine Methode zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele; weiterführende Informationen zu diesem Modell sind etwa auf https://www.datenschutz-mv.de (externer Link) in der Rubrik Datenschutz Standard-Datenschutzmodell zu finden. [Zurück]
- Siehe auch Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Standard-Datenschutzmodell, Version 2.0 vom 7. November 2019, S. 45 (Internet: siehe Fn. 46). [Zurück]
- Standard-Datenschutzmodell (Fn. 46), S. 38 f. [Zurück]
- Internet: https://www.allianz-fuer-cybersicherheit.de (externer Link). [Zurück]
- Internet: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html (externer Link). [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Melde- und Benachrichtigungspflicht. [Zurück]
- Siehe dazu Bayerisches Staatsministerium des Innern, für Sport und Integration, Bayern stärkt Cyberabwehr und Digitalfunk, Aktuelle Meldung vom 5. November 2019, Internet: https://www.stmi.bayern.de/med/aktuell/archiv/2019/191105mr (externer Link). [Zurück]
- Internet: https://www.datenschutz-bayern.de, Rubrik Konferenzen 6. und 7. November 2019. [Zurück]
- Siehe in meinem 20. Tätigkeitsbericht 2002 unter Nr. 17.1.9, in meinem 19. Tätigkeitsbericht 2000 unter Nr. 17.3.3 sowie in meinem 18. Tätigkeitsbericht 1998 unter Nr. 3.3.4 [Zurück]
- Allgemeiner Anhaltspunkt für die Dauer der Aufbewahrungsfrist ist die Wahrscheinlichkeit, dass Unregelmäßigkeiten bei der Verarbeitung noch entdeckt oder Ursachen von Unregelmäßigkeiten aufgeklärt werden können. Bei Anwendbarkeit des Bundesdatenschutzgesetzes sind solche Protokolldaten am Ende des auf deren Generierung folgenden Jahres zu löschen, siehe § 76 Abs. 4 BDSG. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, S. 26 ff., Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Auftragsverarbeitung. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Datensicherheit beim Telefax-Dienst, Internet: https://www.datenschutz-bayern.de, Rubrik Veröffentlichungen Orientierungs- und Praxishilfen Datensicherheit beim Telefax-Dienst. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Internet: https:www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Melde- und Benachrichtigungspflicht. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Orientierungshilfe Datensicherheit beim Telefax-Dienst, Internet: https://www.datenschutz-bayern.de/, Rubrik Veröffentlichungen. [Zurück]
- Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Krankenhausinformationssysteme, Stand 3/2014, Internet: https://www.datenschutz-bayern.de, Rubrik Veröffentlichungen Orientierungs- und Praxishilfen Krankenhausinformationssysteme (2. Fassung). [Zurück]
- Siehe Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium, ORP.4 Identitäts- und Berechtigungsmanagement, Internet: https://www.bsi.bund.de (externer Link), Rubrik Themen IT-Grundschutz IT-Grundschutz-Kompendium. [Zurück]
- Siehe Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium, ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, Leiter IT], Internet: https://www.bsi.bund.de (externer Link), Rubrik Themen IT-Grundschutz IT-Grundschutz-Kompendium. [Zurück]
- Siehe etwa die Empfehlungen für Passwörter, Internet: https://www.bsi-fuer-buerger.de (externer Link), Rubrik Empfehlungen Passwörter. [Zurück]