Sie sind hier: > Start > Tätigkeitsberichte > 34. TB 2024 > 8. Technik und Organisation

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2024

8. Technik und Organisation

8.1. Fotos veröffentlichen = KI trainieren?

Entwickler von Systemen Künstlicher Intelligenz (KI) sind auf eine Nutzung umfangreicher Datenbestände angewiesen, wenn sie auf statistische Verfahren gestützte Modelle effektiv trainieren möchten. Allgemein gilt der Grundsatz: Die Qualität der Ergebnisse steigt mit der Quantität der Trainingsdaten. Was liegt da näher, als den "Datenhunger" der KI mit öffentlich verfügbaren Informationen zu stillen?

Das Internet bietet hier reichlich Nahrung: Die Bilddokumentation des eigenen Lebens unter Einschluss zahlreicher anderer Personen in Sozialen Medien ist längst keine Seltenheit mehr. Dabei sind in Fotos oft mehr Informationen gespeichert, als es den Beteiligten lieb ist: Kontexte, Bildbeschreibungen, auch die gern übersehenen, oftmals automatisiert angelegten Metadaten "plaudern" darüber, wer wo wie abgebildet ist. Eine KI, die aus solchen Daten lernt, wird dann auch damit arbeiten.

Der vorliegende Beitrag ordnet die skizzierten Risiken ein und gibt Bürgerinnen und Bürgern wie auch bayerischen öffentlichen Stellen Empfehlungen für präventive Maßnahmen.

8.1.1. Um welche Risiken geht es?

Viele Nutzerinnen und Nutzer von internetbasierten Anwendungen, insbesondere Sozialen Medien, haben keine genauen Vorstellungen darüber, wie detailreich ihr digitales Abbild ausfällt - und welche "Schönheitsfehler" es im Einzelnen (schon) zeigt. Manche vor Jahren geschriebenen Posts und hochgeladenen Fotos sind immer noch öffentlich, selbst wenn die Kennung und das Passwort für die betreffende Plattform längst vergessen sind und die Nutzerin oder der Nutzer auf andere Plattformen weitergezogen ist. Vielen Nutzenden war bei alldem auch nie so recht bewusst, dass moderne Smartphones gespeicherte Fotos häufig "von sich aus" mit Metadaten wie dem Namen oder Geokoordinaten anreichern. Nutzende können deshalb durchaus weit mehr von sich öffentlich preisgegeben haben, als ihnen aktuell bewusst und/oder erwünscht ist.

Was einmal an zuordnungsfähigen Informationen, insbesondere an Fotos, öffentlich ist, kann grundsätzlich jedermann zu Gesicht bekommen - auch derzeitige (oder zukünftige) Vorgesetzte, Geschäftspartnerinnen, die Gegenpartei in einem Rechtsstreit, Mitschüler, (Ex-)Partner oder Verwandte. Ganz unscheinbar und zunächst einmal unbemerkt gesellt sich eine wachsende Anzahl von KI-Systemen hinzu, die öffentlich abrufbare Informationen zu unterschiedlichen, teils unbekannten oder sogar unerwünschten Zwecken sammeln ("crawlen") und nutzen.

Initiativen wie das Large-scale Artificial Intelligence Open Network (LAION) kommen den KI-Entwicklern noch weiter entgegen: Nach ihren an sich positiv klingenden Grundsätzen von Transparenz und Offenheit bietet diese Non-Profit-Organisation eigenen Angaben zufolge Trainings-Datensätze, Werkzeuge und Modelle zum Experimentieren mit Machine Learning zur freien Verfügung an. Auf dieser Grundlage sollen KI-Anwendungen ohne hohe Investitionskosten für den Aufbau umfangreicher Datenbestände entwickelt werden können, damit - so das Ziel dieser Organisation - nicht ausschließlich finanzstarke Großunternehmen den Markt- und Forschungsbereich "KI" unter sich aufteilen. Wie ein bekannt gewordener Fall zeigt, können solche Trainingsdatensätze jedoch auch (ungewollt) sogar sensible personenbezogene Daten enthalten: Bei der Analyse des Trainingsdatensatzes für die KI-Bildgenerierung "LAION5B" haben Datenjournalistinnen des Bayerischen Rundfunks eine Vielzahl an Informationen entdeckt, mit denen Personen identifiziert werden könnten: Neben Gesichtern und Namen fanden sie Geokoordinaten, E-Mails und sogar Kontonummern.

Das Beispiel zeigt: Angesichts des "Datenhungers" von KI und der bereits heute umfangreichen Verarbeitung öffentlich abrufbarer Informationen ist immer wieder zu überdenken, welche potenziellen Risiken mit einer Veröffentlichung personenbezogener Informationen einhergehen können. Unbeabsichtigt preisgegebene, zusätzliche Informationen in Form von Metadaten verschärfen das Problem zusätzlich.

Insbesondere trägt der internationale Datenhandel dazu bei, dass "das Internet" einmal veröffentlichte Daten oft nicht "vergisst" - selbst wenn personenbezogene Daten auf Löschungsanträge hin aus einzelnen Trainingsdatensätzen vielleicht eliminiert werden können. Sind die Daten einmal in ein KI-System eingeflossen, gestaltet sich die Situation noch komplizierter: Einzelne Daten können grundsätzlich nicht wieder "heraustrainiert" werden. Vielmehr müsste das jeweilige Modell mit einem aktualisierten Trainingsdatensatz "fortgebildet" werden (was mit erheblichen Kosten verbunden wäre). Zudem lässt sich an einem trainierten Modell in der Regel nicht nachweisen, dass bestimmte Daten Teil der Trainingsdaten waren.

Die Risiken für die Rechte und Freiheiten der Bürgerinnen und Bürger wachsen also. Werden etwa Personenfotos zum Training KI-gestützter Gesichtserkennung genutzt und wird dieses Instrument etwa in einem Urlaubsland für Fahndungszwecke eingesetzt, können sich bei einer "ahnungslosen" Einreise leicht nachteilige Konsequenzen ergeben - zumal im Fall falsch-positiver Treffer.

8.1.2. Fotos: mehr als die Summe ihrer Pixel

Beim Speichern eines Fotos können der eigentlichen Aufnahme zusätzliche Informationen (sog. Metadaten) - meist automatisiert - hinzugefügt werden. Dabei fungiert etwa das "Exchangeable Image File Format" (kurz: "Exif") als Standard für solche Metadaten und definiert eine ganze Reihe an Datenfeldern (sog. "Exif-Tags") mit technischen Informationen, wie etwa Kameramodell, Zeitpunkt der Aufnahme oder Kameraeinstellungen. Die Liste an Informationen wirkt auf den ersten Blick unauffällig, doch können gleich in mehreren Datenfeldern personenbezogene Daten hinterlegt werden. Besonders erwähnenswert sind hier die Felder "Autor/Fotograf" sowie der Copyright-Vermerk, die ganz bewusst einen Personenbezug vorsehen, aber auch die geografische Position, die von Geräten mit integriertem GPS-Sensor hinzugefügt wird (fast jedes moderne Smartphone verfügt über einen solchen). Viele sind sich der Existenz dieser Datenfelder ebenso wenig bewusst wie der schädlichen Verwendungsmöglichkeiten für deren Inhalte. Werden Fotodateien mit Exif-Tags im Internet veröffentlicht, kann die Privatsphäre beispielsweise folgendermaßen beeinträchtigt werden:

• Ortungsverfolgung: Eine Person veröffentlicht ein Urlaubsfoto an einem Strand. Das Foto weist keine besonderen Landschaftsmerkmale auf, und die Person ist deshalb der Überzeugung, dass ihr konkreter Aufenthaltsort bei einer Veröffentlichung dieses Fotos unbekannt bleibt. Das für die Aufnahme genutzte Smartphone speichert jedoch im Hintergrund die Geokoordinaten mit ab. Wird diese Bilddatei auf ein Soziales Netzwerk hochgeladen, können die Metadaten ausgelesen werden, um den Standort des Benutzers zu erfahren. Dass es sich hierbei um kein rein theoretisches Szenario handelt, zeigt ein Fall, über den die Presse bereits im Jahr 2012 berichtete.

• Veröffentlichung privater Momente: Angenommen, eine Person lädt ein Bild mit sensiblen Inhalten - wie zum Beispiel ein freizügiges Foto oder eine private Versammlung - in der Annahme hoch, dass sie selbst auf dem Foto nicht ohne weiteres identifizierbar ist (Gesicht nicht ausreichend gut erkennbar). Da die Metadaten aber den Namen des Benutzers enthalten können, ist mit diesen unbewusst mitgespeicherten Informationen unter Umständen doch eine Identifizierung möglich. Dies war zwar bereits vor der Existenz aktueller KI möglich, neueste Entwicklungen in der Bilderkennung und im gesamten Verarbeitungsprozess verschärfen das Problem aber deutlich. Fotos können automatisiert in sehr großer Zahl und sehr hoher Geschwindigkeit verarbeitet, verglichen und ganz allgemein mit anderen Fotos und Informationen zusammengeführt werden. Das ist betroffenen Personen beim Hochladen oder dem Festlegen der Privatsphäreeinstellungen oftmals kaum bewusst. Fotos, auf denen Gesichter zu erkennen sind, können schnell zur Quelle einer Rufschädigung werden.

  In diesem Zusammenhang sorgte die US-amerikanische "Gesichtersuchmaschine" Clearview AI bereits mehrfach für Aufsehen. Diese kostenpflichtige Software erlangte 2020 Bekanntheit, als die New York Times mit einer Recherche die eindrucksvolle Datensammlung des Unternehmens aufdeckte. In der Suchmaschine kann neben dem Namen auch ein Foto als Suchkriterium genutzt werden. Seine Datensammlung hatte das Unternehmen mutmaßlich aus Online-Quellen wie Sozialen Medien oder Nachrichten zusammengestellt. Da es sich bei Clearview AI um eine Software handelt, die auch von Strafverfolgungsbehörden (in den USA) eingesetzt wird, können die Folgen betroffenen Personen insbesondere in Fällen von Fehlzuordnungen, über die in den Medien bereits berichtet wurde, nachhaltig schaden.

Social Media Plattformen entfernen Metadaten beim Upload von Fotos nicht immer automatisch von selbst. Dies mag zum einen an einem möglichen Eigeninteresse der Betreiber an diesen Daten liegen. Es können aber auch urheberrechtliche Gründe gegen die Entfernung sprechen.

8.1.3. Zwischenfazit

Zusammenfassend lässt sich festhalten, dass die Fortschritte im Bereich KI die Risiken für die Rechte und Freiheiten von Bürgerinnen und Bürgern zunehmend anwachsen lassen. Die Abhängigkeit der KI-Systeme von großen Datensätzen und das daraus folgende Heranziehen öffentlich zugänglicher Informationen für das KI-Training bringen für die Internetveröffentlichung personenbezogener Daten neue, unter Umständen schwer kalkulierbare Risiken mit sich.

Angesichts der vielfältigen Möglichkeiten der Veröffentlichung personenbezogener Informationen insbesondere über Soziale Medien ist es daher Aufgabe einer und eines jeden Einzelnen, die eigenen Gewohnheiten insofern grundlegend zu überdenken.

8.1.4. Empfehlungen für Bürgerinnen und Bürger

Um persönliche Informationen zu schützen und potenzielle Risiken zu mindern, sollten Bürgerinnen und Bürger folgende Maßnahmen in Betracht ziehen:

Bewusster Verzicht: Überlegen Sie, ob Sie wirklich personenbezogene Daten - insbesondere Fotos oder Kurzvideos - veröffentlichen möchten. Nur weil es einfach und schnell geht, sind "ein paar Likes" schwer kalkulierbare Risiken nicht wert. Verzichten Sie im Zweifel zu Ihrem eigenen Schutz auf eine Veröffentlichung.

Entfernen von Bild-Metadaten: Bevor Sie Bilder online teilen, können Sie Metadaten entfernen (oder modifizieren). Dafür gibt es zahlreiche (auch kostenlose) Tools und Anwendungen, die dabei helfen, Ihre Privatsphäre zu schützen. Auch der Windows Explorer kann nach einem "Rechtsklick" auf ein Bild im "Details"-Reiter unten "Eigenschaften entfernen", die Personenbezüge haben können.

Datenschutzeinstellungen und Bewusstsein: Machen Sie sich mit den Datenschutzeinstellungen der von Ihnen genutzten Sozialen Medien vertraut. Dazu gehört insbesondere die Einstellung, wer welchen Beitrag, welches Foto oder Kurzvideo sehen darf - hier ist insbesondere die Einstellung "öffentlich" problematisch.

Zu dieser "Öffentlichkeit" haben sich nämlich nun möglicherweise KI-Firmen "hinzugesellt", die zum Training ihrer Machine Learning-Modelle diese "frei verfügbaren Daten und Informationen" auch auf Social Media-Plattformen sammeln. Die damit verbundenen Risiken lassen sich aktuell noch nicht absehen. Selbst auferlegte wie auch gesetzliche Regelungen können mit den rasant wachsenden Fähigkeiten von KI nicht immer mithalten.

Auf den Medientagen Ende Oktober 2023 in München tauschten sich rund 5.000 Besucher drei Tage lang über die wichtigsten KI-Trends aus und sprachen insbesondere über Chancen und Risiken. Neben bewusster Desinformation und unbewusster Falsch- und Fantasieinformation wurde hier die Sorge geäußert, "dass am Vorabend der Wahl irgendwelche Deepfakes auftauchen". Bei Deepfakes handelt es sich um von KI generierte, täuschend echt aussehende Fotos oder sogar bewegte Videos mit Ton, in denen die betroffene Person Dinge tut oder sagt, die sie so eventuell nie wirklich getan oder gesagt hat. Moderne KI kann schon mit nur wenig Trainingsmaterial solche Deepfakes erstellen - je mehr Fotos, Videos und Sprachaufnahmen einer Person öffentlich verfügbar sind, desto authentischer gelingt dies. Bekannt geworden sind etwa täuschend echte "Fotos", die eine Verhaftung von Donald Trump zeigen oder Papst Franziskus im neuen Designer-Daunenmantel, ebenso ein gefaketes Statement des Bundeskanzlers zu einem Parteiverbot.

Passen Sie also die Einstellungen zur Sichtbarkeit Ihrer Daten und Beiträge entsprechend Ihren Präferenzen an. Bleiben Sie wachsam und informiert. Üben Sie auch Selbstkritik: Sie wissen selbst am besten, was Sie schon alles öffentlich gepostet haben. Haben Sie schon einmal eine Veröffentlichung bereut? Gibt es von Ihnen Bilder, die heute nicht mehr zu Ihnen passen? Würden Sie die auf Social Media-Plattformen hochgeladenen Bilder auch mit Ihren aktuellen Kontakten teilen wollen? Was sagt die in Ihrem digitalen Leben bisher entstandene Sammlung von Texten, Bildern und Videoclips über Sie aus? Vermittelt sie das Bild, das andere von Ihnen haben sollen? Wenn Fragen dieser Art Ihnen ein "ungutes" Gefühl bereiten: Werden Sie aktiv!

Überprüfen und Löschen: Überprüfen Sie am besten regelmäßig persönliche Informationen, die Sie eventuell auch schon vor längerer Zeit geteilt haben, auf ihre "Sichtbarkeit", indem Sie die Beiträge betrachten, nachdem Sie sich aus dem jeweiligen Dienst abgemeldet haben. Löschen Sie sie im Bedarfsfall. Beachten Sie zudem, dass Sie auch auf Fotos erkennbar sein könnten, die andere gemacht oder hochgeladen haben. Bitten Sie hier um Löschung; Sie haben grundsätzlich ein Recht darauf (Art. 17 DSGVO).

Um etwa bestimmte Informationen bei Facebook zu löschen, können Sie nach der Anmeldung zu den entsprechenden Abschnitten in den Einstellungen gehen. Beispielsweise können Sie unter "Profil und Tagging" Ihre einzelnen Beiträge prüfen und löschen. Es ist jedoch wichtig zu beachten, dass selbst in diesem Fall möglicherweise Kopien der Daten auf den Servern von Facebook oder in den Konten anderer Personen vorhanden sind, wenn Sie Inhalte geteilt haben.

Ungenutzte Accounts löschen: Sie nutzen bestimmte Soziale Medien tatsächlich nicht mehr und konnten sich bisher nur nicht durchringen, Ihren Account zu löschen? Dann nehmen Sie die aktuellen Entwicklungen im Bereich von KI zum Anlass, vielleicht doch den einen oder anderen Zugang aufzulösen oder zumindest zu sperren, sodass die darin gespeicherten Informationen nicht mehr öffentlich zugänglich sind.

Wenn Sie etwa Ihr Facebook-Konto deaktivieren möchten, können Sie dies unter "Deaktivierung und Löschung" in den Kontoeinstellungen tun. Beachten Sie, dass dies Ihr Konto nur vorübergehend deaktiviert und Sie es später reaktivieren können, wenn Sie sich erneut anmelden. Möchten Sie Ihr Konto dauerhaft löschen, wählen Sie die Option "Dein Konto und deine Informationen löschen". Befolgen Sie die Anweisungen, um den Löschvorgang abzuschließen. Bedenken Sie, dass dies irreversibel ist und alle Ihre Daten dauerhaft entfernt werden.

8.1.5. Hinweise für bayerische öffentliche Stellen

Auch bayerische öffentliche Stellen posten mitunter Fotos oder Videoclips, auf denen Personen zu erkennen sind, oder stellen Beiträge mit anderen personenbezogenen Daten ein. Einige Beispiele:

• Eine Gemeinde veröffentlicht auf einer Webseite Momente aus öffentlichen Veranstaltungen mit darauf erkennbaren Bürgerinnen und Bürgern.
• Ein Landratsamt teilt eine Liste von Bürgerinnen und Bürgern, die in bestimmten Programmen oder Projekten engagiert sind.
• Ein kommunales Kulturzentrum veröffentlicht Fotos von Veranstaltungen oder Konzerten, auf denen Einzelpersonen erkennbar sind.
• Eine Feuerwehr stellt eine Liste von Bürgerinnen und Bürgern online, die an Erste-Hilfe-Kursen teilgenommen haben.
• Eine öffentliche Schule teilt auf ihrer Website Bilder von Schulveranstaltungen, auf denen Schülerinnen und Schüler erkennbar sind.

Ungeachtet der Frage, ob die jeweilige Veröffentlichung in dieser Form überhaupt für bayerische öffentliche Stellen zulässig war, verweisen alle diese Beispiele auf mangelnde "KI-Disziplin": Machine Learning-Modellen Trainingsmaterial bereitzustellen ist nicht Aufgabe bayerischer öffentlicher Stellen. (Noch) mehr als bisher sollte bei der öffentlichen Bereitstellung insbesondere von Foto- und Videodateien Zurückhaltung geübt werden, wenn Personen erkennbar sind. Dies gilt gerade dann, wenn diese in begleitenden Texten auch noch namhaft gemacht werden.

Bayerische öffentliche Stellen sind grundsätzlich gut beraten, eine datensparsame Öffentlichkeitsarbeit zu betreiben. Auch wenn eine Rechtsgrundlage für eine Offenlegung personenbezogener Daten zur Verfügung stehen sollte: Nicht immer "braucht" die "Message" ein Gesicht - eine Gemeindehomepage darf ihre Stärke in guter Information haben. Das hilft den Bürgerinnen und Bürgern mehr als bunte Fotos von Beschäftigten.

Sollen dennoch Bilder mit Personen veröffentlicht werden, sollte eine "Verpixelung" geprüft werden; dies gilt insbesondere für Personen "im Hintergrund". Metadaten braucht es in den seltensten Fällen - also: weg damit! Apps bieten hier eine Vielzahl an Funktionen und Filtern, mit denen es etwa möglich ist, zu zeigen, dass eine Veranstaltung gut besucht war, ohne dass dabei einzelne Besucherinnen und Besucher identifizierbar sind. Zurückhaltung ist auch bei Bildbeschreibungen angebracht - nicht jede oder jeder muss namhaft gemacht werden.

Ein weiterer Aspekt ist die Zugänglichmachung: Werden die Daten und Medien öffentlich gemacht oder kann der Personenkreis sinnvoll eingeschränkt werden - etwa auf einen "internen" zugangsgeschützten Bereich? Neben diesem "harten" Zugangsschutz, gibt es die "noindex"-Funktion, mit der Suchmaschinen und Indizierungstools angewiesen werden, die so markierten Inhalte oder Unterseiten nicht zu indexieren oder zu berücksichtigen.

8.1.6. Fazit

Es passiert schnell, dass man mehr personenbezogene Daten und Informationen veröffentlicht, als man möchte. Das gilt für Einzelne ebenso wie für bayerische öffentliche Stellen. Insbesondere die erst einmal nicht sichtbaren (weil von den gängigen Foto-Apps normalerweise nicht angezeigten) Exif-Daten sind in diesem Zusammenhang relevant. Neben diesem eher auf Fotos beschränkten Problem ist ganz allgemein vor Risiken zu warnen, die mit der Veröffentlichung personenbezogener Daten einhergehen. Diese zum Teil bereits seit längerem - etwa im Zusammenhang mit Suchmaschinen - bestehenden Risiken haben sich im Zuge des jüngsten Verbreitungsschubs von KI und insbesondere des "unkontrollierten" Crawlings öffentlich zugänglicher Informationen zur Gewinnung von Trainingsdaten noch einmal verschärft. Insofern ist zu empfehlen, das "Ob" neuer und bestehender Veröffentlichungen kritisch zu prüfen. Außer an Verzicht und Löschung sollte auch an eine Entfernung oder Minimierung von Personenbezügen gedacht werden.

8.2. Fehlversand von Schreiben, insbesondere durch Finanzämter

Der Fehlversand von Schreiben war bereits häufiger Gegenstand meiner Tätigkeitsberichte (siehe den 27. Tätigkeitsbericht 2016 unter Nr. 5.5.3, den 28. Tätigkeitsbericht 2018 unter Nr. 3.1.6, den 29. Tätigkeitsbericht 2019 unter Nr. 12.8.1 und den 32. Tätigkeitsbericht 2022 unter Nr. 7.6). Dennoch häuften sich zuletzt bei Finanzämtern Meldungen von Verletzungen des Schutzes personenbezogener Daten wegen des unsachgemäßen Versands von Unterlagen an unberechtigte Empfänger. Häufige Fehlerquellen waren hier die unkorrekte Adressierung, Verwechslungen aufgrund von Namensgleichheit, eine fehlerhafte Zusammenstellung oder eine falsche Kuvertierung von Unterlagen.

8.2.1. Maßnahmen des Verantwortlichen zur Verhinderung des Fehlversands

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung der Datenschutz-Grundverordnung gemäß erfolgt.

In Konkretisierung des Grundsatzes der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) verlangt Art. 32 Abs. 1 DSGVO von dem Verantwortlichen also, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in erforderlichem Umfang zu überprüfen und zu aktualisieren (vgl. Art. 24 Abs. 1 Satz 2 DSGVO).

Versehentliche Fehlversendungen lassen sich zwar auch mit ausgefeilten technisch-organisatorischen Maßnahmen nicht vollständig verhindern. Vorausgesetzt ist dabei aber, dass die nötigen technisch-organisatorischen Maßnahmen überhaupt ergriffen, regelmäßig überprüft und gegebenenfalls aktualisiert werden. Insbesondere eine Namensgleichheit dürfte bei der mitunter hohen Anzahl beispielsweise der von Finanzämtern verarbeiteten personenbezogenen Daten keine Seltenheit sein, so dass diesbezüglich möglichst zuverlässige Maßnahmen getroffen werden müssen, um Fehladressierungen zu vermeiden. Prozessabläufe sind so zu gestalten, dass Fehlversendungen verhindert werden.

8.2.2. Ausnahme von der Meldepflicht

Die Meldepflicht für Verletzungen des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO besteht ausnahmsweise nicht, wenn voraussichtlich kein (relevantes) Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist.

In einer Meldung über den Fehlversand eines Bescheides an einen anderen Empfänger als den Bescheidadressaten erhielt ich die Risikoeinschätzung "daher besteht ein hohes Risiko, dass die Daten einem Fremden offenbart wurden". Das trifft zwar zu, allerdings muss die Risikoeinschätzung des Verantwortlichen darauf zielen, mögliche Nachteile für die betroffene Person zu identifizieren und die Eintrittswahrscheinlichkeit einzuschätzen. Zu denken ist etwa an folgende Nachteile (vgl. Erwägungsgrund 75 und 85 DSGVO):

• Verlust der Kontrolle über die personenbezogenen Daten;
• Einschränkung der Rechte der betroffenen Person;
• Diskriminierung;
• Identitätsdiebstahl oder -betrug;
• finanzielle Verluste;
• unbefugte Aufhebung der Pseudonymisierung;
• Rufschädigung;
• Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder
• andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Zur Meldepflicht und Risikoabschätzung habe ich eine Orientierungshilfe "Meldepflicht und Benachrichtigungspflicht des Verantwortlichen" bereitgestellt, die auch zur Risikobewertung anleitet.

Bei einem versehentlichen und zufälligen Fehlversand, etwa eines Zurechnungsfortschreibungsbescheids, hat der Verantwortliche zu prüfen, ob ein relevantes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, was wohl regelmäßig zu verneinen ist, wenn beispielsweise der unberechtigt empfangene Brief ungeöffnet sofort wieder zurücksendet wurde.

Insbesondere angesichts des häufig möglichen finanziellen Aspekts bei Schreiben von Finanzämtern können auch hier durch unbefugte Empfänger Risiken dadurch entstehen, dass zwischen diesen und den betroffenen Personen eine Bekanntheit oder ein Verwandtschaftsverhältnis besteht und der Bruch der Vertraulichkeit beispielsweise bestehende Erbstreitigkeiten zusätzlich belasten könnte.

8.2.3. Ausführlichkeit der Meldung

Ich stellte fest, dass eingehende Meldungen insbesondere von Fehlversendungen mitunter mangelhaft abgegeben wurden und nur einen spärlichen Informationsgehalt aufwiesen, was mir deren Beurteilung erschwert oder sogar unmöglich gemacht hat.

Aus diesem Grund möchte ich darauf hinweisen, dass alle eingehende Meldungen von mir insbesondere auf folgende Kriterien geprüft werden:

Ist die inhaltliche Darstellung ausreichend?

Ist die Risikobewertung nachvollziehbar?

Sind die bereits ergriffenen Maßnahmen ausreichend?

Ist eine Informierung der betroffenen Personen nötig oder bereits erfolgt?

Wurde die Meldefrist eingehalten?

Um Rückfragen zu vermeiden, bitte ich alle Meldenden diesbezüglich auch eine eigene Prüfung durchzuführen und die Meldungen gegebenenfalls entsprechend zu ergänzen.

8.2.4. Zuständigkeit für Finanzämter

Insbesondere von Finanzämtern erreichen mich häufig Meldungen in Bezug auf Fehlversendungen, für die ich nicht zuständig bin: Bayerische Finanzämter unterliegen zwar als bayerische öffentliche Stellen grundsätzlich meiner Datenschutzaufsicht. Hinsichtlich der Verarbeitung personenbezogener Daten im Anwendungsbereich der Abgabenordnung (AO) begründet jedoch § 32h Abs. 1 Satz 1 AO eine Ausnahme; insofern ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständige Datenschutz-Aufsichtsbehörde. Das gilt, soweit die Finanzämter Steuern verwalten, die durch Bundesrecht oder das Recht der Europäischen Union geregelt sind (vgl. § 1 Abs. 1 Satz 1 AO). Für die Verwaltung der landesrechtlich geregelten Grundsteuer hat der Landesgesetzgeber zwar auf die Regelungen der Abgabenordnung zurückgegriffen, die Datenschutzaufsicht aber bei mir belassen (Art. 10 Abs. 2 Satz 2 Bayerisches Grundsteuergesetz). Davon abgesehen bin ich für die staatlichen Finanzbehörden außerhalb ihrer steuerverwaltenden Tätigkeit uneingeschränkt zuständig, etwa im Bereich des Personaldatenschutzes (vgl. näher meinen 28. Tätigkeitsbericht 2018 unter Nr. 10.1 sowie meinen 32. Tätigkeitsbericht 2022 unter Nr. 8.1).

Im Falle einer fälschlich an mich gerichteten Meldung werde ich diese zwar regelmäßig an die Bundesbeauftragte abgeben. Dennoch bitte ich zur Vermeidung von Verzögerungen und Verwaltungsaufwand insbesondere die Finanzämter, bei Meldungen vorab selbst zu prüfen, an welche Aufsichtsbehörde diese zu richten sind, und dann auch direkt an diese zu melden.

8.3. Geleakte BayernCloud Schule-Zugangsdaten

In den 1960er Jahren wurden erstmals Passwörter als Schutzmaßnahme für den Zugriff auf Rechner genutzt. Was sich seitdem nicht geändert hat: Passwörter verlieren ihre Schutzwirkung, sobald sie Unbefugten bekannt werden. Kommt es zur Offenlegung von Benutzerkennungen und Passwörtern in großem Umfang, spricht man von einem sogenannten "Password-Leak". Hauptursachen für Passwort-Leaks sind insbesondere Hackerangriffe, Schadsoftware, ungesicherte Zugriffsmöglichkeiten auf Datenbanken und Phishing-Attacken.

Bei großen Leaks können Millionen oder sogar Milliarden von Datensätzen betroffen sein, wie beispielsweise bei dem "RockYou2024"-Leak mit angeblich fast 10 Milliarden Passwörtern im Juli 2024.

Das Landesamt für Sicherheit in der Informationstechnik prüft einschlägige Webseiten, ob Zugangsdaten von Stellen in seinem Zuständigkeitsbereich betroffen sind. Dabei werden auch immer wieder Zugangsdaten von Schülerinnen und Schülern sowie Lehrkräften für die BayernCloud Schule (ByCS) gefunden. Im Jahr 2024 erreichten mich daher wiederholt Meldungen von Schulen nach Art. 33 DSGVO über geleakte Zugangsdaten von ByCS-Accounts.

8.3.1. Starke und individuelle Passwörter

Nutzerinnen und Nutzer können selbst mit zwei Maßnahmen ihren eigenen Schutz gegen Passwort-Leaks signifikant erhöhen. Komplexe Passwörter mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sind schwieriger zu "knacken". Selbst wenn starke Passwörter in einem Leak verschlüsselt auftauchen - Angreifer benötigen dann zumindest mehr Zeit und Ressourcen, um sie zu entschlüsseln, was wiederum den Betroffenen mehr Zeit gibt, ihre Passwörter zu ändern. Komplexe Passwörter schützen zudem besser vor sogenannten Brute-Force- oder Wörterbuch-Angriffen, da Länge und Komplexität automatisierte Angriffe erschweren, bei denen systematisch alle möglichen Kombinationen durchprobiert werden. Trotz dieses Vorteils sollten bei einem Passwort-Leak alle betroffenen Passwörter unabhängig von ihrer Stärke umgehend geändert werden.

Passwörter sollten zudem nur einmal, also für jeweils einen einzigen Dienst beziehungsweise nur für ein Benutzerkonto verwendet werden. Dies bietet Schutz vor sogenannten Credential-Stuffing-Angriffen. Dabei werden gestohlene Zugangsdaten automatisiert auf verschiedenen Websites ausprobiert. Einzigartige Passwörter reduzieren so das Risiko, dass Angreifer mit denselben Zugangsdaten auch andere Dienste angreifen und dort weiteren Schaden anrichten können. Hilfsmittel wie Passwort-Manager können die individuelle Nutzung und Generierung von sicheren Passwörtern vereinfachen. Wobei auch hier durch sorgfältige Auswahl und sicheren Betrieb des Passwort-Managers darauf geachtet werden muss, dass nicht ein erfolgreicher Angriff auf den Passwort-Manager zu einem erneuten Passwort-Leak führt.

8.3.2. Phishing

Phishing ist eine weit verbreitete Form des Cyberangriffs, bei der Betrüger versuchen, durch gefälschte Nachrichten, insbesondere E-Mails, aber auch Messenger-Nachrichten an sensible Informationen wie Passwörter (oder etwa Kreditkartendaten) zu gelangen. Ziel ist es dabei, den Empfänger zu einer Handlung zu verleiten, wie etwa das Preisgeben von Login-Daten oder finanziellen Informationen. Es wird meist versucht, mittels möglichst echt und dringlich wirkenden Nachrichten Personen dazu zu bewegen, eine bestimmte URL aufzurufen. Die URL ist dann entweder bereits direkt mit Schadcode versehen, der über Browserlücken versucht, den Rechner des Opfers zu infizieren, oder es wird Nutzenden eine zum Teil täuschend echt aussehende Website angezeigt, auf der sie ihre Zugangsdaten eingeben sollen. Diese Daten landen dann in den Händen der Angreifer.

Um sich vor Phishing zu schützen, können folgende Maßnahmen hilfreich sein:

• Entwickeln Sie ein gesundes Misstrauen gegenüber unerwarteten E-Mails, besonders solchen mit dringenden Aufforderungen oder auch Drohungen.
• Überprüfen Sie immer die Absenderadresse und insbesondere Links in E-Mails, bevor Sie irgendwo draufklicken: Viele E-Mail-Programme zeigen die URL eines Links bereits an, wenn man mit dem Mauszeiger darüberfährt, ohne jedoch darauf zu klicken (das ist tunlichst zu vermeiden). Meist lässt sich an der URL erkennen, dass es sich um keinen vertrauenswürdigen Link handelt - etwa, wenn diese anders lautet, als der in der E-Mail angezeigte Link. Oft sind Links als Knöpfe getarnt, die zu einer Aktion aufrufen (sogenannte Call-to-Action-Buttons), etwa "Jetzt Gewinn abholen" oder "Hier Passwort ändern".
• Denken Sie lieber kurz nach, bevor Sie eine E-Mail von einem unbekannten Empfänger öffnen.
• Wenn Sie die Wahl haben: Blockieren sie jedenfalls bei E-Mails von externen Absendern die HTML-Ansicht.
• Geben Sie niemals vertrauliche Informationen per E-Mail preis.
• Öffnen Sie keine Anhänge oder Links in verdächtigen E-Mails.
• Loggen Sie sich von Diensten aus, die Sie gerade nicht nutzen.
• Nutzen Sie bewusst verschlüsselte Verbindungen ("https://" (externer Link)) für sensible Transaktionen.
• Wenn Sie behördlicher Datenschutzbeauftragter sind: Klären Sie Ihre Kolleginnen und Kollegen im Rahmen Ihrer Updates zu datenschutzrelevanten Fragen der IT-Sicherheit regelmäßig auch über aktuelle Phishing-Taktiken auf. Gestalten Sie die Unterweisung möglichst realitätsnah.

Allgemein lässt sich feststellen, dass durch generative KI die Qualität der Phishing-Angriffe zugenommen hat (und auch wohl noch zunehmen wird); falsche und bösartige E-Mails sind von harmlosen immer schwieriger zu unterscheiden. Dennoch lässt sich durch Wachsamkeit und ein gewisses Grundmisstrauen das Risiko, Opfer eines Phishing-Angriffs zu werden, weiterhin erheblich reduzieren.

Aufgrund der hohen Anzahl von Meldungen von geleakten Zugangsdaten zu ByCS-Accounts im Jahr 2024 bitte ich vor allem Lehrkräfte als direkte Kommunikationspartner der Schülerinnen und Schülern, diese auf die Risiken von Passwortangriffen hinzuweisen und zum sorgfältigen Umgang damit anzuleiten. Mich erreichte allerdings auch eine Meldung, bei dem ein begründeter Verdacht entstand, dass ein Schüler Lehrerzugangsdaten zur schulinternen Lernplattform mebis erlangen und damit weitreichende Zugriffsrechte bekommen konnte. Lehrkräfte seien deshalb auch auf die Notwendigkeit zum sorgfältigen Umgang mit ihren eigenen Zugangsdaten hingewiesen.

Die Gefahren, die dadurch entstehen, dass Angreifer Kenntnis von einem Passwort erlangen, lassen sich zuverlässig nur durch eine Zwei-Faktor-Authentifizierung minimieren. Ein Angreifer kann dann alleine durch Kenntnis des Passworts noch nicht auf den Dienst zugreifen, er benötigt immer noch den zweiten Faktor, also beispielsweise eine Chip-Karte oder ein Gerät, auf das nur der berechtigte Nutzer Zugriff hat. Für jedes Verfahren sollten Verantwortliche daher prüfen, ob nicht auf eine Zwei-Faktor-Authentifizierung umgestellt werden kann oder gar umzustellen ist.

8.4. Vertraulichkeit im Homeoffice von Justizvollzugsbediensteten

Fragen des technisch-organisatorischen Datenschutzes bei der Arbeit im Homeoffice, auch in Form von Telearbeit, hatten während der COVID-19-Pandemie Konjunktur (siehe mein 30. Tätigkeitsbericht 2020 unter Nr. 3.6). Die Möglichkeit, im Homeoffice zu arbeiten, gehört bei vielen bayerischen öffentlichen Stellen weiterhin zum Alltag. In diesem Rahmen haben Kommunikations- und Kollaborationssysteme aber auch die eAkte Bayern einen Verbreitungsschub erfahren.

Aktuell hatte ich mich mit der Vertraulichkeit bei der Arbeit im Homeoffice von Justizvollzugsbediensteten befasst. Anlass dazu gab die Prüfanregung eines Gefangenen aus einer bayerischen Justizvollzugsanstalt, der um den Schutz der personenbezogenen Daten besorgt war. Insbesondere während der COVID-19-Pandemie seien seiner Schilderung zufolge Gespräche von Gefangenen mit dem medizinischen Dienst der Justizvollzugsanstalt per Videokonferenz geführt worden. Dabei habe sich das medizinische Personal zum Teil im Homeoffice befunden. Der Gefangene befürchtete, dass die Vertraulichkeit der Gespräche durch Kenntnisnahmemöglichkeiten von Haushaltsangehörigen oder Mitbewohnern gefährdet sein könnte.

Dies habe ich zum Anlass genommen, mich bei der Justizvollzugsanstalt zu diesem Thema näher zu informieren. Ich gelangte zu den folgenden Erkenntnissen:

8.4.1. Dienstvereinbarung des Bayerischen Staatsministeriums der Justiz

Mit Bekanntmachung des Bayerischen Staatsministeriums der Justiz über die Dienstvereinbarung über Telearbeit und Mobile Arbeit im Geschäftsbereich des bayerischen Justizvollzugs (im Folgenden: Dienstvereinbarung) hat das Justizministerium für alle Einrichtungen im bayerischen Justizvollzug unter anderem festgelegt, dass die

"Sicherheit und Ordnung in den Justizvollzugseinrichtungen, die Effektivität der Organisationseinheiten und der ordentliche Dienstbetrieb [...] durch die Einrichtung von Telearbeit oder Mobilen Arbeitens nicht beeinträchtigt werden [dürfen]."

Um sicherzustellen, dass alle im Homeoffice bearbeiteten Vorgänge der Einsichtnahme durch Familienangehörige und Dritte entzogen und die datenschutzrechtlichen Bestimmungen eingehalten werden, umfasst die Dienstvereinbarung insbesondere Regelungen zum Transport von Akten, zur Aufbewahrung von Unterlagen und Geräten, zu Einschränkungen für die Mitnahme von Akten und zur Vernichtung von außerhalb der Dienststelle erstellten Unterlagen.

Ergänzend zur Aufbewahrung der Geräte stellt die Dienstvereinbarung fest, dass die von der Dienststelle zur Verfügung gestellten Rechner und Datenträger ganz allgemein gegen den Zugriff Unberechtigter zu schützen sind. Rechner sind insofern nicht nur mit einer Sicherheitskomponente gegen die Inbetriebnahme durch Unbefugte abzusichern, sondern auch im laufenden Betrieb bei kurzfristigem Verlassen des Arbeitsplatzes (ohne Herunterfahren) zu sperren.

Für eine Tätigkeit im medizinischen Dienst (oder vergleichbar sensiblen Dienstbereichen, etwa dem psychologischen oder seelsorgerischen Dienst) kann Mobile Arbeit oder Telearbeit außerdem nur in besonderen und begründeten Einzelfällen genehmigt werden.

Die betroffene Justizvollzugsanstalt gab mir gegenüber an, dass Bedienstete des medizinischen Dienstes derzeit nicht die Möglichkeit zum Homeoffice nutzen würden und lediglich in der Zeit der COVID-19-Pandemie eine Nutzung notwendig gewesen sei. Ansonsten werde in Übereinstimmung mit dem ärztlichen und krankenpflegerischen Dienst der Grundsatz vertreten, dass medizinische und ärztliche Leistungen und Arbeiten nur vor Ort erledigt werden können.

Ein konkreter Sachverhalt, bei dem es im Rahmen der ausnahmsweisen Nutzung von Homeoffice im medizinischen Dienst während der COVID-19-Pandemie zu unberechtigter Kenntnisnahme von personenbezogenen Daten gekommen wäre, wurde mir nicht bekannt.

Ich stellte fest, dass die Vertraulichkeit der Verarbeitung von personenbezogenen Daten in den jetzt bestehenden Regelungen eine zentrale Beachtung findet. Mögliche Gefährdungen, wie etwa durch Familienangehörige und andere im Haushalt lebende Personen, wurden ausreichend erkannt und durch technische und organisatorische Maßnahmen adressiert.

8.4.2. Empfehlungen

Nach Art. 32 Abs. 1 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das müssen sie im Rahmen von Art. 5 Abs. 2 DSGVO auch nachweisen können. Regelungen für die häusliche Arbeitssituation in Bezug auf die Durchführung von Telefongesprächen oder Videokonferenzen sollten so gestaltet werden, dass sie in Umsetzung und Dokumentation alltagstauglich sind.

Den Beschäftigten muss deutlich werden, dass insbesondere Gesprächsinhalte schützenswert sind und dass deshalb keine unbefugten Dritten mithören oder zuschauen dürfen. Türen und Fenster sollten gegebenenfalls geschlossen werden, um ungewollte Zuhörer auszuschließen. Neugierige Blicke - etwa durchs Fenster auf den Monitor - sollten soweit nötig mittels Vorhänge oder Displayfolien unterbunden werden. Die Nutzung von Headsets ist empfehlenswert, um zu verhindern, dass die eingehenden Gesprächsinhalte von Dritten im Raum mitgehört werden.

Außerdem sollten Beschäftigte zum Zweck des Selbstschutzes darauf achten, dass während Videokonferenzen keine sensiblen Informationen (über sich oder auch Familienangehörige oder Dritte) im Hintergrund erkennbar werden, die Rückschlüsse auf das Privatleben, gegebenenfalls auch den Wohnort erlauben. Geräte mit Sprachassistenten (etwa Microsoft Cortana, Google Assistant, Apple Siri, Amazon Alexa usw.), insbesondere also private Smartphones aber auch Echo Dots und andere Smart Home-Geräte dürfen sensible Dienstgespräche nicht mitanhören und müssen gegebenenfalls deaktiviert werden.

Zusammenfassend lässt sich sagen, dass die Wahrung der Vertraulichkeit dienstlicher Informationen im Homeoffice durch eine Vielzahl von Maßnahmen verbessert werden kann. Sowohl technische als auch organisatorische Aspekte müssen berücksichtigt werden, um die Einhaltung datenschutzrechtlicher Regelungen zu gewährleisten. Nur im Verbund von Sensibilisierung der Beschäftigten, Einsatz sicherer Technologien und klaren Regelungen für die häusliche Arbeitssituation kann die Vertraulichkeit von Informationen ausreichend geschützt werden.

8.5. Postversand von elektronischen Medien

Die Bearbeitung einer Beschwerde hat die Frage aufgeworfen, was im Hinblick auf den technisch-organisatorischen Schutz beim postalischen Versand von elektronischen Medien, das heißt beim Versand von Speichermedien (zum Beispiel USB-Sticks oder Speicherkarten) und beim Versand von Geräten, in denen solche Speichermedien eingebaut sind (zum Beispiel Smartphones), zu beachten ist.

Insbesondere zu dem Teilaspekt, ob elektronische Medien beim Postversand zu verschlüsseln sind, lassen sich derzeit unterschiedliche datenschutzrechtliche Ausführungen - teilweise bezogen auf bestimmte Einzelfälle - finden. Die folgende Konkretisierung der relevanten Anforderungen zeigt, dass auf den ersten Blick widersprüchliche Standpunkte für bestimmte Einzelfälle durch eine detailliertere datenschutzrechtliche Betrachtung nicht selten auf eine gemeinsame Prüflogik zurückgeführt werden können.

Vor dem Postversand von elektronischen Medien, auf denen personenbezogene Daten gespeichert sind, hat eine bayerische öffentliche Stelle datenschutzrechtlich folgende Prüfschritte zu beachten:

Der Postversand ist eine gängige Form für die Übermittlung personenbezogener Daten. Daneben können situativ und in bestimmten Einzelfällen auch alternative Formen möglich sein, bei denen die Übermittlung datenschutzfreundlicher gestaltet werden kann (zum Beispiel eine persönliche Übergabe oder die Nutzung eines geeigneten digitalen Kommunikationsportals).

Aufgrund des bestehenden Postgeheimnisses (§ 64 Postgesetz) sowie der Strafbewehrung in § 202 Strafgesetzbuch (StGB) ist grundsätzlich anzunehmen, dass unbefugte Dritte auf dem Postweg keinen Zugriff auf die in einer Postsendung befindlichen elektronischen Medien erhalten und damit die Vertraulichkeit sowie Datenintegrität der personenbezogenen Daten gewahrt ist. Verantwortliche, die sich auf diesen Grundsatz berufen möchten, müssen zuvor allerdings folgende Fragen stellen - und sachgerechte Antworten auf sie finden:

• Entspricht die Umverpackung den Anforderungen des Postdienstleisters?

  Die Möglichkeit, dass eine Postsendung nicht beim angegebenen Empfänger ankommt, ist den Postdienstleistern bekannt. Eine Ursache dafür kann sein, dass nicht geeignet verpackte Postsendungen mit sperrigem Inhalt durch eine automatische Sortiermaschine oder bei einer anderen maschinellen Bearbeitung in den Brief- oder Paketzentren beschädigt werden und Teile ihres Inhalts dabei verlieren. Daher gibt beispielsweise die Deutsche Post AG gesonderte Hinweise an Absender, wie bestimmte elektronische Speichermedien vor ihren Versand zu verpacken sind. Eine Verpackung nach der einschlägigen Empfehlung des beauftragten Postdienstleisters ist eine technische und organisatorische Maßnahme, die einen wichtigen Aspekt des Verlustrisikos geeignet reduziert und die durch eine gleichwertige alternative Schutzmaßnahme in der Regel nicht ersetzt werden kann.

• Sind die Versandoptionen richtig ausgewählt?

  Die Versandoptionen, die vom Postdienstleister angeboten werden und eine höhere Sicherheit der Sendung vermitteln, können von der versendenden Stelle als geeignete Schutzmaßnahmen gewählt und aktiviert werden (zum Beispiel eine allgemeine Sendungsverfolgung oder eine besondere Sendungsverfolgung im Rahmen eines Einschreibens, wodurch insbesondere eine höhere Ermittlungsquote bei nicht termingerecht zugestellten Postsendungen erzielt werden kann).

• Müssen kontextspezifische Vorgaben beachtet werden?

  Sind weitere Schutzmaßnahmen durch spezifische normative Vorgaben oder durch eine Selbstverpflichtung der Stelle für den postalischen Versand von elektronischen Medien vorgesehen, so sind diese Maßnahmen von der Stelle umzusetzen. Beispielsweise kann mit Sicherheitsverschlüssen und mit Sicherheitsaufklebern der Postversand zusätzlich abgesichert werden.

• Sind weitere Maßnahmen erforderlich?

  Nach der Datenschutz-Grundverordnung ist jede verantwortliche Stelle verpflichtet, mittels der wirksamen Umsetzung von technischen und organisatorischen Maßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Welche Schutzmaßnahmen dem Risiko entsprechend wirksam umgesetzt werden müssen, wird grundsätzlich durch eine datenschutzrechtliche Risikoanalyse ermittelt und nachgewiesen werden. Denn die Datenschutz-Grundverordnung schreibt insbesondere in Art. 32 DSGVO nicht die Umsetzung bestimmter technischer und organisatorischer Maßnahmen fest vor, sondern verpflichtet die verantwortliche Stelle zu einer Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten sowie der Art, dem Umfang, der Umstände und dem Zweck der Verarbeitung. Die verantwortliche Stelle hat somit zu prüfen, welche Risiken sich aus dem Postversand von elektronischen Medien im Einzelfall ergeben können und welche Maßnahmen geboten sind, um das Risiko angemessen zu vermindern

  Anders als Papierunterlagen können Dateien und elektronische Medien grundsätzlich nach dem Stand der Technik verschlüsselt und vom Empfänger mit dem dazugehörigen Schlüssel, der auf einem geeigneten, separaten Kommunikationsweg zugesendet wird, wieder entschlüsselt werden. Diese technische Schutzmöglichkeit könnte als Argument herangezogen werden, dass nach Art. 32 DSGVO elektronische Medien mit personenbezogenen Daten, die auf dem Postweg versendet werden, stets verschlüsselt werden müssen.

  Eine solche pauschale Schlussfolgerung würde jedoch die Risikoreduzierung durch das Postgeheimnis fast vollständig außer Acht lassen. Wäre die datenschutzrechtliche Wirkung des Postgeheimnisses tatsächlich so unbedeutend, wäre dies auch beim Papierversand zu berücksichtigen. Denn beim Vergleich des datenschutzrechtlichen Risikos macht es bei Erfüllung der Anforderungen (1) und (2) grundsätzlich keinen Unterschied, ob vergleichbare personenbezogene Daten in der üblichen Papierform oder elektronisch auf einem unverschlüsselten Speichermedium postalisch versendet werden.

  Allerdings können bei der Versendung elektronischer Medien zu den allgemeinen Postversandrisiken spezifische digitale Risikoaspekte hinzutreten (im Folgenden als Digitalrisiken bezeichnet). Insbesondere ist dabei zu beachten, dass marktübliche elektronische Speichermedien eine sehr hohe Speicherkapazität besitzen. Unter der Annahme, dass jedes Gigabyte (GB) einer Datenmenge von 100.000 bedruckten Seiten DIN-A4 Papier entspricht, könnten auf einem USB-Stick mit einer Speicherkapazität von 128 GB über 12 Millionen bedruckte Seiten gespeichert werden. Hinzu kommt auch die Besonderheit, dass digitale Medien die Speicherung von Datenformaten erlauben, zu denen es in der Papierwelt kein Gegenstück gibt (zum Beispiel Videos). Somit können personenbezogene Daten, die auf elektronischen Medien gespeichert sind, in einem Umfang sowie in einer Art und Weise postalisch versendet werden, die sich im datenschutzrechtlichen Risiko deutlich vom Postversand eines Papierkonvoluts unterscheidet.

  Vor diesem Hintergrund kann als Ergebnis festgehalten werden:

  • Beim postalischen Versand eines elektronischen Mediums ist die sachgerechte Verschlüsselung der Dateien, die auf dem Medium gespeichert sind, oder die Verschlüsselung des Mediums selbst eine Schutzmaßnahme, die das Risiko einer Vertraulichkeits- und Datenintegritätsverletzung auf dem Versandweg deutlich vermindert. Sind insbesondere die Implementierungskosten für eine solche Verschlüsselung - was regelmäßig der Fall sein dürfte - verhältnismäßig, wird eine solche Verschlüsselung empfohlen.
  • Eine derartige Verschlüsselung oder eine vergleichbare alternative Schutzmaßnahme kann neben dem bestehenden Schutz des Postgeheimnisses technisch-organisatorisch regelmäßig dann gefordert werden, falls der Postversand des elektronischen Mediums mindestens mit einem spezifischen Digitalrisiko verbunden ist und zudem ein hohes Verarbeitungsrisiko aufweist.
  • In Art. 35 Abs. 1 DSGVO ist im Zusammenhang mit der Datenschutz-Folgenabschätzung und im Hinblick auf die Form einer Verarbeitung von einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen die Rede. Nach der von der Artikel 29-Datenschutzgruppe - dem Vorgängergremium des Europäischen Datenschutzausschusses - veröffentlichten Leitlinien zur Datenschutz-Folgenabschätzung müssen neun Kriterien berücksichtigt werden, um Verarbeitungsvorgänge zu ermitteln, für die aufgrund ihres hohen Risikos eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Diese Bewertungsmethode auf Grundlage der neun DSFA-Kriterien kann entsprechend für die Beurteilung, ob ein bestimmter Postversand von elektronischen Medien ein hohes Verarbeitungsrisiko aufweist, genutzt werden.

8.6. Massive Hackerangriffe auf öffentliche Stellen

8.6.1. Erhöhte Gefahrenlage

Leider musste ich in diesem Berichtszeitraum eine massive Zunahme an erfolgreichen Hackerangriffen auf öffentliche Stellen in Bayern verzeichnen. Erfolgreich meint im Hinblick auf den Datenschutz, dass es den Angreifern gelang, die Sicherheitssysteme der angegriffenen Stellen zu überwinden und Zugriff auf die (virtuellen) Server und die darauf gespeicherten Daten zu erhalten. Dies äußerte sich häufig darin, dass die IT-Systeme der betroffenen Stellen (komplett) verschlüsselt wurden und die betroffenen Stellen tage- oder wochenlang lahmgelegt waren. Zudem werden von den Angreifern häufig auch Daten kopiert und im Darknet zum Verkauf angeboten. Das Darknet Monitoring des Bayerischen Landeskriminalamts konnte Daten von bayerischen öffentlichen Stellen auf einschlägigen Angebotsplattformen auffinden.

Derartige Datenabflüsse wiegen besonders schwer, wenn es sich bei den betroffenen Stellen um Kommunen, Schulen, Krankenhäuser oder psychiatrische Kliniken handelt, weil bei diesen Verantwortlichen regelmäßig auch Sozialdaten, Daten von Kindern, besondere Kategorien personenbezogener Daten wie etwa Gesundheitsdaten, sowie Daten betroffen sind, die einer Auskunftssperre unterliegen.

Ursache für derartige Vorfälle sind häufig keine komplizierten Angriffe wie Zero-Day-Exploits, bei denen bisher unbekannte Sicherheitslücken ausgenutzt werden, sondern etwa über ein halbes Jahr nach Erscheinen immer noch nicht eingespielte Patches und Updates oder schlecht gesicherte Benutzerkonten, insbesondere auch auf kritischen Systemen wie Firewalls. Leider musste ich feststellen, dass in vielen Fällen selbst für privilegierte Benutzerkonten keine Zwei-Faktor-Authentifizierung eingerichtet war, die mittlerweile sogar für "Normalbürger" zum Schutz von Bankkonten oder Social Media Accounts als Stand der Technik anzusehen ist.

In den meisten mir nach Art. 33 DSGVO gemeldeten Fällen hatten die Verantwortlichen keine ausreichenden technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ergriffen; daher habe ich in einigen Fällen Beanstandungen ausgesprochen. Diese Fälle sollen im Folgenden exemplarisch dargestellt werden.

8.6.2. Beanstandungen

8.6.2.1. Beanstandung der unzureichenden technischen Absicherung von IT-Systemen eines Klinikums

Ein bayerisches Klinikum wurde Opfer eines Cyberangriffs, bei dem die IT-Systeme durch Ransomware namens "RA World" verschlüsselt wurden und etwa 3.600 Gigabyte Daten abgeflossen sind. Auf eine damit verbundene Lösegeldforderung ging das Klinikum gemäß dem Rat der Polizei nicht ein.

Der Angriff führte zu erheblichen Störungen im Klinikbetrieb, da die elektronisch gespeicherten Daten nicht mehr zugreifbar waren. Er erforderte eine Abmeldung von der Notfallversorgung. Die Sicherheit und Versorgung der Patienten wurde konnte durch die Aktivierung bestehender Notfallpläne und unter Verwendung von Papierakten gewährleistet werden.

Die forensischen Untersuchungen haben ergeben, dass öffentlich bekannte Sicherheitslücken ausgenutzt wurden. Es standen auch bereits Patches zur Verfügung, die jedoch nicht installiert waren. Zudem wurde keine wirksame Netzwerkssegmentierung umgesetzt, was die Ausweitung des Angriffs im gesamten Netzwerk des Klinikums ermöglichte.

Nach dem Vorfall wurden im Rahmen der Aufarbeitung neben dem unzureichenden Patch-Management noch einige weitere konzeptionelle Sicherheitsmängel festgestellt. Dementsprechend wurde nach dem Vorfall ein komplettes Neuaufsetzen aller Systeme begonnen, um eine IT-Infrastruktur gemäß dem Stand der Technik zu erreichen.

Den eklatanten Verstoß gegen die Anforderungen von Art. 32 Abs. 1 Buchst. b DSGVO insbesondere hinsichtlich der Vertraulichkeit und der Verfügbarkeit habe ich förmlich beanstandet. Zudem habe ich das Klinikum gebeten, längerfristig eine Darknet-Überwachung hinsichtlich des Verkaufs der abgeflossenen Daten durchzuführen.

8.6.2.2. Beanstandung fehlender IT-Sicherheitsmaßnahmen bei einem kommunalen IT-Dienstleister

Ein kommunaler IT-Dienstleister wurde zum Ziel eines gravierenden Cyberangriffs durch die Ransomware-Gruppe Akira. Dieser Vorfall führte zur Verschlüsselung aller virtuellen Server und sogar zur Löschung wichtiger Backups. Betroffen waren personenbezogene Daten von bis zu 40.500 Bürgern, bei den Kunden des IT-Dienstleisters fielen teilweise zentrale Fachanwendungen aus.

Nach der Entdeckung des Angriffs wurden alle Verbindungen zum Rechenzentrum des IT-Dienstleisters getrennt, um eine Ausbreitung des Schadcodes zu verhindern. Ein nicht verschlüsselter physischer Server ermöglichte die teilweise Wiederherstellung von Daten, während die restlichen fehlenden Daten manuell eingepflegt werden mussten. Vollständige Datenverfügbarkeit wurde erst nach mehreren Wochen wieder erreicht.

Die Ermittlungen ergaben, dass die Angreifer mit den Zugangsdaten eines Mitarbeiters in die IT-Systeme eingedrungen waren. Diese Zugangsdaten waren nicht ausreichend gesichert; sie könnten möglicherweise gestohlen oder gekauft worden sein. Zudem stellte sich heraus, dass die Firewall des IT-Dienstleisters veraltet und nicht ausreichend konfiguriert war. Der IT-Dienstleister räumte ein, dass grundlegende Sicherheitsmaßnahmen nicht ausreichend umgesetzt waren.

Ich habe den Verstoß gegen die Anforderungen von Art. 32 Abs. 1 Buchst. b DSGVO insbesondere hinsichtlich der Vertraulichkeit und der Verfügbarkeit förmlich beanstandet und den IT-Dienstleister aufgefordert, eine vollständige Risikoanalyse sowie Nachweise über die Umsetzung von Sicherheitsanforderungen vorzulegen.

Leider zeigt dieser Vorfall, dass ein Outsourcing für Kommunen nicht immer zu einer Verbesserung des Sicherheitsniveaus führt. Auch ein IT-Dienstleister muss dafür sorgen, dass die Ausstattung mit genügend geeignetem Fachpersonal regelmäßig überprüft, die nötigen technisch-organisatorischen Maßnahmen ergriffen und in ihrer Effektivität nachhaltig überwacht werden.

8.6.2.3. Beanstandung der mangelnden Umsetzung von technischen und organisatorischen Schutzmaßnahmen bei einem Landratsamt

Bei einem Landratsamt wurde eine mögliche Kompromittierung einer VoIP-Telefon-Anlage festgestellt. Wie sich bei den anschließenden Ermittlungen herausstellte, konnten Angreifer eine Sicherheitslücke in einem Router ausnutzen. Um die Auswirkungen zu minimieren, wurde die gesamte IT des Landratsamts vorübergehend vom Netzwerk getrennt, was zu einem vollständigen Ausfall der Kommunikationsmöglichkeiten für die Bürger führte. Etwa eine Woche waren weder Telefonate, Online-Anträge, E-Mail-Kommunikation noch Kfz-Zulassungen möglich.

In Rahmen der Aufarbeitung des Vorfalls wurde festgestellt, dass die Sicherheitslücke, die zu dem Angriff führte, bereits seit längerem bekannt war und seit Bestehen aktiv ausgenutzt wurde. Dabei handelte es sich um eine Schwachstelle in der Software einer Netzwerkkomponente, wodurch die Verfügbarkeit der Systeme und Dienstleistungen erheblich beeinträchtigt wurde. Auch wenn von den Angreifern wohl keine personenbezogenen Daten abgegriffen wurden, zeigte der Vorfall gravierende Mängel insbesondere in den Prozessen der IT-Sicherheit und des Datenschutzmanagements insbesondere hinsichtlich des Einspielens von Updates und Patches auf.

Ich habe die festgestellten Verstöße gegen Art. 32 Abs. 1 Buchst. b DSGVO förmlich beanstandet und gefordert, zeitnah Nachweise über die Behebung der bestehenden Mängel hinsichtlich der IT-Sicherheit vorzulegen.

Darüber hinaus habe ich dem Landratsamt regelmäßige Überprüfungen und Evaluierungen der IT-Sicherheitsmaßnahmen, die Implementierung eines effektiven Patch-Management-Systems sowie Schulungen für Mitarbeiter zur Sensibilisierung für Datenschutz- und Sicherheitsfragen nahegelegt. Wie diese Beispiele zeigen, könnten mit diesen Basismaßnahmen schon eine Vielzahl von Hackerangriffen abgewehrt werden.

8.6.3. Meldepflicht nach Art. 33 DSGVO

Sollte es zu einem Hackerangriff gekommen sein, weise ich noch einmal auf die Pflicht zur Abgabe einer (Erst-)Meldung einer Datenschutzverletzung nach Art. 33 DSGVO grundsätzlich innerhalb von 72 Stunden hin. Dies kann zu einer besonderen Herausforderung in der allgemeinen Hektik eines Hackerangriffs werden, insbesondere wenn alle IT-Systeme der öffentlichen Stelle abgeschaltet wurden. Es sollte daher im Rahmen der Notfallkonzeption festgelegt werden, über welche Kommunikationswege eine fristgerechte Meldung abgegeben werden soll.

Da in den ersten 72 Stunden nach dem Angriff normalerweise noch nicht alle Informationen zum Vorfall vorliegen und eine längere Aufklärungsphase nach sich zieht, habe ich Empfehlungen näheren Vorgehen in solchen Fällen erarbeitet.

8.7. Datenpannen beim Auftragsverarbeiter - Beispiel Stay Informed

Die Firma Stay Informed bietet eine vielgenutzte App für Kindertageseinrichtungen und Schulen zur Kommunikation zwischen Einrichtung und Eltern. Leider kam es im Berichtszeitraum zu einer größeren Datenpanne. Infolge Fehlkonfiguration eines Webservers beim Anbieter waren personenbezogene Daten von Kindern und Eltern über einen längeren Zeitraum im Internet frei abrufbar. Einer breiteren Öffentlichkeit wurde dies durch die Berichterstattung einer großen deutschen Fachzeitschrift aus dem IT-Bereich bekannt. Das Beispiel zeigt deutlich die Schwierigkeiten auf, die bestehen können, wenn es im Rahmen einer Auftragsverarbeitung zu Datenpannen beim Auftragsverarbeiter kommt. Sowohl der Verantwortliche als auch der Auftragsverarbeiter sollten daher entsprechende Vorkehrungen treffen:

• Klarheit bezüglich des bestehenden Vertragsverhältnisses

  In einigen Meldungen gaben Verantwortliche als Grund für eine verspätete Meldung an, dass man zwar die Datenpannenmeldungen von Stay Informed erhalten, aber nicht gewusst habe, was man damit anfangen solle. Man sei davon ausgegangen, dass Stay Informed diese Panne direkt an die Datenschutz-Aufsichtsbehörden gemeldet habe. Diesen Verantwortlichen war weder bewusst, welche Art von Vertragsverhältnis mit Stay Informed bestand, noch, welche Pflichten sich für die Beteiligten daraus ergaben.

  Bei der Nutzung von Apps handelt es sich häufig um eine Auftragsverarbeitung mit der Folge, dass der Träger der nutzenden Einrichtung Verantwortlicher im Sinne des Datenschutzrechts bleibt - auch wenn die konkrete Datenpanne beim App-Anbieter aufgetreten ist. Der Verantwortliche ist unter anderem verpflichtet, Datenpannen an die zuständige Datenschutz-Aufsichtsbehörde zu melden und beim Auftragsverarbeiter auf eine angemessene Aufarbeitung sowie auf Umsetzung der gebotenen technisch-organisatorischen Maßnahmen hinzuwirken. Auftragsverarbeitung bedeutet für den Verantwortlichen also nicht "Problementsorgung": Soweit sie reicht, bewirkt sie lediglich eine Schwerpunktverschiebung von einer Ausführungs- zu einer Überwachungsverantwortlichkeit.

• Zügige Bearbeitung von Meldungen des Auftragsverarbeiters sicherstellen

  In einigen Fällen haben Verantwortliche die E-Mails des App-Anbieters zur Datenpanne gar nicht näher gesichtet, sondern als Werbemails angesehen und nicht weiter beachtet. Dementsprechend wurden die Datenpannenmeldungen erst deutlich verspätet abgeben.

  Verantwortliche sollten daher mit ihren Auftragnehmern abklären, auf welchen Kommunikationswegen sicherheitsrelevante Informationen mitgeteilt werden, und intern eine zeitnahe Weiterbehandlung sicherstellen.

• Erstmeldung an die Aufsichtsbehörde innerhalb von 72 Stunden

  Die 72-Stunden-Regelfrist für die Meldung einer Datenpanne bei der zuständigen Datenschutz-Aufsichtsbehörde gilt auch für Datenpannen bei Auftragsverarbeitern. Die Datenpanne wird dem Verantwortlichen spätestens zu dem Zeitpunkt bekannt, in welchem er durch den Auftragsverarbeiter von der Datenpanne erfährt. Entsprechende Nachrichten sollten auch aus diesem Grund ernstgenommen werden.

• Klärung der konkret betroffenen eigenen Daten

  Im Falle der Stay Informed-Datenpanne hat der Anbieter mitgeteilt, welche Datenkategorien von dem Vorfall grundsätzlich betroffen waren (PDF-Anhänge, CSV-Dateien, Avatare, verschlüsselte Unterschriften usw.). Dies mag für eine Erstmeldung ausreichend sein, in einem nächsten Schritt war jedoch konkret zu klären, welche Funktionen der App in der eigenen Einrichtung tatsächlich genutzt wurden und welche Daten somit konkret betroffen waren. So nutzten nicht alle Einrichtungen die Unterschriftsfunktion, sodass dann diesbezüglich auch keine Risiken für eine missbräuchliche Nutzung bestanden. Außerdem war die Zahl der tatsächlich betroffenen Personen (Kinder, Eltern, Beschäftigte der Einrichtung usw.) zu ermitteln. Ausweichende oder inkonsistente Angaben - wie etwa der Verweis auf die vom Auftragsverarbeiteter angegebene Gesamtzahl der betroffenen Personen für alle Kunden- genügen dabei nicht.

• Eigene Risikobewertung, Festlegung von Abhilfemaßnahmen

  Die Meldungen zur Stay Informed Datenpanne haben gezeigt, wie unterschiedlich die App in den verschiedenen Einrichtungen benutzt wurde. Dementsprechend hatte auch jeder Verantwortliche eine eigenständige Risikobewertung durchzuführen. Dies war insbesondere vor dem Hintergrund wichtig, dass bei hohen Risiken die betroffenen Personen nach Art. 34 DSGVO informiert werden müssen.

  Der Dienstleister musste dem Verantwortlichen dazu Informationen zum technischen Hintergrund, zu Ermittlungsergebnissen, nachweisbaren unbefugten Zugriffen und ergriffenen Maßnahmen bereitstellen. Nur auf dieser Grundlage konnte ein Verantwortlicher die Risiken hinsichtlich der konkret betroffenen Daten und Personen bewerten. Dies musste er dann auch tun. Es genügte also nicht, lediglich den Input des App-Anbieters zu übernehmen.

• Soweit erforderlich: unaufgeforderter Nachbericht

  Konnten in der Erstmeldung noch nicht alle Angaben gemacht werden, war die Meldepflicht aus Art. 33 DSGVO auch noch nicht vollständig erfüllt. Dann war ein unaufgeforderter Nachbericht angezeigt, der die noch fehlenden Informationen zu enthalten hatte.

8.8. Durchsetzung einer Anordnung nach Art. 58 Abs. 2 DSGVO mit Zwangsgeld

Wie bereits in meinem 33. Tätigkeitsbericht 2023 unter Nr. 11.11 dargestellt, erließ ich im Jahr 2022 eine Anweisung nach Art. 58 Abs. 2 Buchst. d DSGVO zur Umsetzung eines adäquaten Rollen- und Berechtigungssystems gegen ein bayerisches Klinikum und drohte für den Fall der Nichterfüllung ein Zwangsgeld an. Damit sollte meinen seit 2019 bestehenden Forderungen zur Umsetzung eines datenschutzgerechten Rollen- und Rechtekonzepts für das Krankenhausinformationssystem Nachdruck verliehen werden.

Das Klinikum setzte nicht alle geforderten Maßnahmen fristgerecht um. Daher wurde das Zwangsgeld nach Ablauf der eingeräumten Frist in Höhe von 17.500 Euro zur Zahlung fällig.

Um die Mängelbehebung weiter voranzutreiben, habe ich habe ich die Zwangsgeldandrohung wiederholt. Im Rahmen der Abwägung der mir zur Verfügung stehenden Möglichkeiten sehe ich dies derzeit als geeignetstes Mittel an, um den zeitnahen Abschluss der Arbeiten am Berechtigungskonzept zu erreichen. Ein Bußgeld nach Art. 83 DSGVO ist dadurch nicht ausgeschlossen.

8.9. Ausgewählte Beanstandungen

Im Lauf des Jahres habe ich auch außerhalb des Kontextes "Hackerangriffe" (siehe Nr. 8.6.2) einige Beanstandungen ausgesprochen, die ihren Hintergrund in technisch-organisatorischen Mängel hatten. Zwei Beispiele möchte ich im Folgenden aufführen, um für die beschriebenen Konstellationen zu sensibilisieren.

8.9.1. Beanstandung mangelhafter Schutzmaßnahmen im Zusammenhang mit der Aufbewahrung sensibler Unterlagen

Ein städtisches Kinder- und Jugendhilfezentrum bewahrte über viele Jahre hinweg Akten von ehemaligen Bewohnerinnen und Bewohnern in einem Zimmer auf, das betreuten Jugendlichen als Wohnraum diente. Die Unterlagen befanden sich dort in einem Wandschrank, der lediglich mit einem lockeren Vorhängeschloss versehen war. So konnte eine Bewohnerin den Schrank so weit öffnen, dass sie auf Akten zugreifen konnte.

Die Stadt hat somit sensible Daten Minderjähriger in einem unzureichend gesicherten Schrank und an ungeeigneter Stelle aufbewahrt. Es konnte im Rahmen der Aufbereitung des Vorfalls nicht mehr nachvollzogen werden, warum und wie lange sich der Schrank schon dort befand. Auch fand offensichtlich keine Prüfung der Aufbewahrung statt Es handelt sich damit um einen Verstoß gegen Art. 32 Abs. 1 Buchst. b und d in Verbindung mit Art. 24 Abs. 1 DSGVO, nach dem der Verantwortliche geeignete technische und organisatorische Maßnahmen zur Sicherstellung der Vertraulichkeit auch von Papierakten zu ergreifen hat.

Ich habe den Verstoß beanstandet und die Stadt zur Abhilfe aufgefordert.

Alle öffentlichen Stellen haben dafür Sorge zu tragen, dass Papierakten mit personenbezogenen Daten in geeignet verschließbaren Schränken und ausschließlich in Räumlichkeiten aufbewahrt werden, die nur von berechtigen Personen betreten werden können.

8.9.2. Beanstandungen unverschlüsselten E-Mail-Versands an eine Vielzahl von Empfängern

Ein Mitarbeiter eines Universitätsklinikums verschickte im Rahmen einer medizinischen Studie eine Einladung zu einer Schulungsveranstaltung per unverschlüsselter E-Mail. Er nutzte dabei das Adressfeld "An" anstelle von "Bcc". Das hatte zur Folge, dass alle E-Mail-Adressen für alle Empfänger alle sichtbar waren. Titel und Inhalt der E-Mail ließen erkennen, dass alle angeschriebenen Personen Teilnehmer einer Studie zu einer bestimmten Erkrankung waren, also möglicherweise an dieser Krankheit litten.

Ein ähnlich gelagerter Fall fand in einem Landratsamt statt: Ein Mitarbeiter des beanstandeten Landratsamtes hatte im Rahmen eines Infektionsgeschehens eine E-Mail mit sensiblen Gesundheitsdaten ohne angemessene Sicherheitsvorkehrungen über das Internet versandt und darüber hinaus statt des "Bcc"-Felds das "Cc"-Feld verwendet, wodurch die E-Mail-Adressen der Empfänger ebenfalls für alle sichtbar waren. Damit wurde zumindest ein Infektionsverdacht im Adressatenkreis offengelegt.

Wie unter anderem schon in meinem 27. Tätigkeitsbericht 2016 unter Nr. 2.1.3 dargestellt, handelt es sich bei einem Versand per "Cc" um eine unbefugte Datenübermittlung, in diesem Fall von Gesundheitsdaten. Auch die Thematik des unverschlüsselten E-Mail-Versands wurde bereits in meinem Tätigkeitsbericht behandelt.

Ich habe die festgestellten Verstöße in beiden Fällen förmlich beanstandet und die Stellen aufgefordert, alle Beschäftigten hinsichtlich der E-Mail-Kommunikation zu sensibilisieren. Besteht Bedarf an einer elektronischen Kommunikation von Gesundheitsdaten, muss der Verantwortliche den Beschäftigten entsprechend sichere Kommunikationsmöglichkeiten zur Verfügung stellen, siehe näher mein 32. Tätigkeitsbericht 2022 unter Nr. 12.5.5.

84. Internet: https://laion.ai/blog/laion-5b (externer Link). [Zurück]
85. Internet: https://interaktiv.br.de/ki-trainingsdaten (externer Link). [Zurück]
86. Ausführliche Liste unter: https://exiftool.org/TagNames/EXIF.html (externer Link). [Zurück]
87. Internet: https://www.golem.de/news/vice-john-mcafee-mit-iphone-geolocation-geortet-1212-96131.html (externer Link). [Zurück]
88. Internet: https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial- (externer Link) recognition.html. [Zurück]
89. Internet: https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial- (externer Link) recognition.html. [Zurück]
90. Internet: https://www.nytimes.com/2023/08/06/business/facial-recognition-false-arrest.html (externer Link). [Zurück]
91. Dazu näher Oberlandesgericht Köln, Urteil vom 20. Januar 2017, 6 U 105/16, BeckRS 2017, 102365, Rn. 27 und Urteil vom 2. Juni 2023, 6 U 17/23, GRUR-RS 2023, 12243, Rn. 14 ff. [Zurück]
92. Der Bayerische Rundfunk (BR) berichtete: https://www.br.de/nachrichten/deutschland-welt/medientage-wo-die-chancen-von-ki-liegen-und-wo-die-risiken,TttxJQe (externer Link). [Zurück]
93. Internet: https://www.heise.de/hintergrund/Der-KI-Papst-in-Daunenmantel-sollte-eine- (externer Link) Warnung-sein-8146920.html. [Zurück]
94. BR-Bericht: https://www.br.de/nachrichten/netzwelt/scholz-deepfake-sind-ki-faelschungen- (externer Link) verboten,TwzZ6nE. [Zurück]
95. Siehe etwa für OpenAI die Dokumentation zu ChatGPT: https://platform.openai.com/ (externer Link) docs/gptbot. [Zurück]
96. Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
97. Nähere Ausführungen dazu etwa bei Schurter, Aufregung um „grössten Passwort-Leak aller Zeiten“, Internet: https://www.swisscybersecurity.net/news/2024-07-10/aufregung-um- (externer Link) groessten-passwort-leak-aller-zeiten. [Zurück]
98. Vom 19. Februar 2024 (BayMBl. Nr. 196). [Zurück]
99. Internet: https://www.deutschepost.de/de/c/clever-briefe-versenden.html (externer Link). [Zurück]
100. Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Risikoanalyse und Datenschutz-Folgenabschätzung, Orientierungshilfe, Stand 5/2022, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]
101. Artikel 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt, WP 248 rev.01, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]
102. Bayerischer Landesbeauftragter für den Datenschutz, Meldung nach Art. 33 Datenschutz-Grundverordnung bei Hackerangriff, Aktuelle Kurz-Information 58, Stand 1/2025, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]