Ich probiere etwas Neues. Nein, keine Innovation in diesem Sinne. Nur ein Newsletter oder „Infobrief“, wie ich es nenne. Ich versuche, die schieren News etwas einzuordnen. Sicherlich persönlich gefärbt, aber das gehört meines Erachtens zur Authentizität. Und damit nichts verlorengeht, wird jeder Infobrief eine Tag nach Versand auch als Blogpost veröffentlicht. Wer die Infos statt dessen frei Haus (und natürlich DSGVO-konform) in die Mailbox haben möchte, kann sich hier registrieren.

Und nun: (hoffentlich) viel Spaß beim Lesen.

 

Jedes Jahr nach Weihnachten gibt es (nicht nur) für IT-Nerds einen wichtigen Fixtermin: den Chaos Communication Congress, dessen 38. Ausgabe (38C3) unter dem Motto „Illegal Instructions“ vom 27.-30.12.2024 in Hamburg stattfand. Ich verfolge das Event seit Jahren aus der Ferne (zu viele Menschen auf kleinem Raum sind einfach nicht „mein Ding“) und meine Stimmung schwankt jedes einzelne Mal zwischen „amüsiert“ und „entsetzt“. In dieser Ausgabe werden also Themen aus dem 38C3 einen gewissen Raum einnehmen. Alle Aufzeichnungen des Kongresses sind übrigens hier zu finden.

Der Anschlag von Magdeburg als politisches Instrument für die Forderung nach mehr Überwachung

Der größte Datenschutz-Aufreger im Dezember war für mich die Vielzahl politischer Reaktionen auf den Anschlag von Magdeburg, die nicht nur vor Substanzlosigkeit nur so strotzten, sondern in vielen Fällen jeglichen menschlichen Anstand vermissen ließen. Der Aufschrei der Zivilgesellschaft ist an dieser Stelle leider viel zu leise.

Der rechtsextremistische Terroranschlag offenbart erneut tiefgreifende Defizite bei den deutschen Sicherheitsbehörden. Sicherheitsbehörden müssen sich der Kritik stellen müssen, massenhaft Indizien und Vorwarnungen möglicherweise nur unzureichend geprüft oder vollständig ignoriert zu haben. Ähnlich wie bereits in früheren Fällen tauchten in den Medien nach der Tat die Information auf, dass die jeweiligen Täter*innen den Behörden bereits bekannt waren. Wenn Informationen nicht gebündelt oder zuständige Stellen zu spät hinzugezogen werden (sprich: die den Innenministerien des Bundes und der Länder unterstehenden Behörden schlicht ihren Job nicht machen), kann selbst das umfangreichste Überwachungsnetz keinen Anschlag verhindern.

Doch – der erste Schock über die Ereignisse in Magdeburg war noch nicht überwunden – nutzte die Bundesinnenministerin Faeser (SPD) erwartbar die Gunst der Stunde, um altbekannte Töne anzuschlagen: Statt die internen Pannen und mangelnden Ressourcen bei Polizei und Verfassungsschutz, die auf eine systemische Überforderung schließen lassen, strukturiert aufzuarbeiten und die Sicherheitsbehörden zu befähigen, ihre Arbeit effizient zu tun, forderte sie wieder einmal reflexartig mehr Videoüberwachung im öffentlichen Raum, Ausweitung der staatlichen Befugnisse zur Telekommunikationsüberwachung und – fast schon traditionell – die anlasslose Vorratsdatenspeicherung (VDS), also vollständige Überwachung jeglicher Online-Aktivitäten aller Bürger. 

Diese Maßnahmen hätten – so erklärt Frau Faeser auf Nachfrage selbst (ab Minute 45:25) den Anschlag nicht verhindern können. Dies und die Tatsache, dass alle Fakten auch ohne separate Überwachungsmaßnahmen bereits auf dem Tisch lagen und lediglich hätten beachtet werden müssen (siehe oben), wird in Faesers Argumentation für die Überwachung freilich ausgespart.

Und als wäre das alles nicht schlimm genug, stellt sich nun Herr Linnemann, promovierter Volkswirt (also offenbar ein recht intelligenter Mensch) und immerhin der Generalsekretär der CDU, hin und fordert allen Ernstes, psychisch erkrankte Menschen in einem Register zu erfassen (Zur Einordnung: es geht hier keinesfalls um Einzelfälle – in Deuschland leiden ca. 17,8 Mio. Menschen an irgendeiner psychischen Störung, Quelle: Report Psychotherapie 2021). Allein die Idee, eine derart vulnerable Patientengruppe unter Generalverdacht zu stellen, weckt beklemmende Erinnerungen an historische Grausamkeiten. In der NS-Zeit wurden Menschen mit geistigen und körperlichen Behinderungen systematisch erfasst, ausgegrenzt und schließlich ermordet („Aktion T4“). Dabei hätte die Datensammlung, selbst wenn ein Täter in einem solchen Register verzeichnet gewesen wäre, keinesfalls automatisch zu einer Alarmierung von Behörden geführt (denn ich will doch hoffen, dass die Herr Linnemann nicht beabsichtigt, kranke Menschen insgesamt dauerüberwachen zu lassen). Zudem wäre der mutmaßliche Täter im konkreten Fall ohnehin nicht in dem Register aufgetaucht. Denn es wurde zwar nach der Tat (!) der Verdacht auf eine psychische Erkrankung geäußert, es existierte vorab aber keine derartige Diagnose. Statt dessen wäre er sogar einer der Ärzte gewesen, die andere Menschen in ein solches fiktives Register eintragen würden. Bei allem Verständnis für Wahlkampfinteressen von Parteien: Noch absurder geht es wirklich kaum noch! Linnemanns Zurückrudern (nachdem er für seine Äußerung verdientermaßen einen veritablen medialen Shitstorm erfahren hat), er hätte natürlich nur „psychisch kranke Gewalttäter“ gemeint, ist so durchsichtig wie es eines demokratischen Politikers unwürdig ist.

Was hat das nun alles mit Datenschutz zu tun? Nun ja, stellen wir uns unter dem Eindruck von Linnemanns Forderung einmal kurz vor, es gäbe eine solche zentrale staatliche Datenhaltung, die maximal sensible (Gesundheits-)Daten nahezu aller Bürger erfasst, sie damit vollkommen durchsichtig gegenüber Behörden macht und bei der der Bürger nicht einmal in der Lage ist, zu entscheiden, wer Zugang zu welchen seiner Informationen erhält. Und nennen wir dieses Wunder der Datensammlung einfach einmal „elektronische Patientenakte“ ….

Die elektronische Patientenakte – Soll man oder soll man nicht?

Ich mache es kurz: Man soll. Nämlich sich genau überlegen, was die Vor- und Nachteile der ePA für einen selbst sind.

Aber der Reihe nach. 2025 ist das Jahr, in dem die ePA, die „elektronische Patientenakte“ flächendeckend ausgerollt werden soll. Zum Nutzen aller gesetzlich Versicherten und der Behandelnden gleichermaßen, so zumindest die stete Marketing-Aussage des Gesundheitsministeriums. Doch seit mehr als fünf Jahren warnen Sicherheitsexperten davor, dass die technische Ausgestaltung der ePA derart mangelhaft ist, dass man seine sensiblen Gesundheitsinformationen kaum guten Gewissens dort einspeisen lassen könne. Eine etwas ausführlichere Begründung meiner Ablehnung steht in diesem Artikel …

Urteile des EuGH zum immateriellen Schaden

Die DSGVO sieht grundsätzlich die Möglichkeit vor, Schadensersatz für immaterielle Schäden zu verlangen. Gemäß Art. 82 Abs. 1 DSGVO kann Schadensersatz verlangt werden kann, wenn 1. ein DSGVO-Verstoß vorliegt und 2. im ursächlichen Zusammenhang damit 3. ein tatsächlicher Schaden entstanden ist (3 kumulative Voraussetzungen). 

Der Europäische Gerichtshof hatte bereits im Fall der unrechtmäßigen Datenverarbeitung durch die österreichischen Post am 4. Mai 2023 geurteilt, dass es bei immateriellen Schäden nicht darauf ankommt, dass der Schaden eine gewisse Erheblichkeit hat oder anders ausgedrückt, dass es keine Bagatellgrenze gibt, und die DSGVO dahingehend wörtlich auszulegen ist. Auch in der Rechtssache C-340/21 sollte der EuGH Rahmenbedingungen klären, unter denen der Ersatz immaterieller Schäden verlangt werden kann und hat mit dem Urteil vom 14. Dezember 2023 dabei klargestellt, dass die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren, beim Verantwortlichen liegt und dieser ersatzpflichtig ist, es sei denn, er kann nachweisen, dass er in keiner Hinsicht verantwortlich ist. Außerdem könnte allein die Befürchtung eines Missbrauchs personenbezogener Daten schon einen immateriellen Schaden begründen. Auch im Urteil zur Rechtssache C-456/22 vom 14. Dezember urteilt das Gericht erneut, dass es keine Bagatellgrenze gibt, stellt jedoch fest, dass Betroffene nachweisen müssen, dass ein Schaden tatsächlich entstanden ist und dieser in ursächlichem Zusammenhang mit dem fraglichen Datenschutzverstoß steht (3 Voraussetzungen, siehe oben). 

Somit stärkt der EuGH erneut Verbraucherrechte und kann zu einer strengeren Praxis bei diesbezüglichen Entscheidungen führen. Fraglich ist freilich jeweils, ob der immaterielle Schaden tatsächlich eingetreten ist und wie sich dies gerichtsfest nachweisen lässt. 

Unternehmen ist in jedem Fall nahezulegen, ihr Datenschutzmanagement dahingehend zu prüfen, dass Sicherheitsmaßnahmen funktionsfähig implemnentiert sind, dem Stand der Technik entsprechen und hinreichend dokumentiert und damit nachweisbar sind. 

VW weiß (nicht nur), wo Dein Auto steht

Journalisten beim Chaos Communication Congress über den Fall berichten, dass das kuschelige Quasi-Familienunternehmen der Porsche/Piechs und des Emirs von Katar (ja, das ist etwas verkürzt, denn diese halten zusammen „nur“ mehr als 70% der Stimmrechte) mal eben mehr als 800.000 Kundenfahrzeuge der Marken VW, Audi, Skoda und Cupra komplett überwacht. Und natürlich dabei erwischt wird. Betroffen sind vergleichsweise junge Fahrzeuge, die sehr stark auf Software-Integration setzen, viele davon auch elektrisch angetrieben. VW weiß also, wer wo arbeitet (zum Beispiel beim Bundesnachrichtendienst) und wann genau er oder sie im Büro anwesend ist, wo die Person wohnt, wo deren Kinder die Kita besuchen und natürlich fehlen auch nicht die zugeordneten E-Mail-Adressen usw. Man könnte kurz sagen: abgesehen von der Schutzwürdigkeit der personenbezogenen Daten der betroffenen Kund*innen stellt VW hier ein nicht unerhebliches Sicherheitsrisiko für Deutschland dar. Lesen Sie selbst …

Sicherheitsvorfall bei Kindergartensoftware Kigaroo

Vorab: Zum Glück ist nichts Errnsthaftes passiert. Die Sicherheitslücke ist einem Sicherheitsforscher aufgefallen, der sie umgehend dem Anbieter Kigaroo meldete (Meldung von netzpolitik.org). Der Anbieter behob ebenso unverzüglich (noch am Wochenende) den zugrunde liegenden Fehler. Es wäre schön, wenn das immer so liefe. Konkret war das Problem, dass ÌDs der Benutzer nicht zufällig vergeben wurden, sondern einfach hochgezählt wurden und Autorisierungsprüfungen für den Datenzugriff fehlerhaft implementiert waren. Ein „Angreifer“ musste daher gar nicht allzu detailliert in die Technik einsteigen, sondern konnte in URLs einfach beliebige Benutzer-IDs durchprobieren. Ein vermeintlich leicht zu vermeidender Fehler, könnte man meinen. Dennoch verursachen solche Fehler sehr regelmäßig Sicherheitslücken. Software wird nie perfekt sein, Menschen machen Fehler (Um der Frage vorzugreifen: Doch, KI macht auch welche, oft sogar schlimmere). Dennoch – und hier schließt sich der Kreis zum Datenschutz: Es ist von immenser Bedeutung, intern Transparenz über die eingesetzten Softwareprodukte und die davon betroffenen Verarbeitungstätigkeiten zu schaffen, um im Bedarfsfall umgehend reagieren uzu können, sowie geeignete Prozesse für die Sicherstellung der Aktualität der Software im Haus zu etablieren. Nicht zuletzt deshalb prüfen wir bei und mit unseren Kunden mindestens einmal jährlich die Liste der Auftragsverarbeiter.

Sprechen wir miteinander!

Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Der Autor

Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.

Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.