Aufgabe und Herausforderung des Datenschutzes

Aufgabe und Herausforderung des Datenschutzes

Zum Schutz der Grundrechte im Cyberraum braucht es einen technisch kompetenten und schlagkräftigen Datenschutz

von Michael Will

Es vergeht keine Woche, ohne dass in den Medien über einen neuen Cybersicherheitsvorfall berichtet wird. Sei es ein Krankenhaus, das mit einem Verschlüsselungstrojaner zu kämpfen hat und Gefahr läuft, die medizinische Versorgung nicht aufrechterhalten zu können, oder ein Hacking-Angriff auf ein Unternehmensnetz, bei dem interne Daten wie Patente oder andere „Kronjuwelen“ entwendet werden – nicht selten, weil zuvor grundlegende Schutzmaßnahmen nicht wirksam umgesetzt wurden. Dabei muss man sich längst von der Vorstellung verabschieden, dass hinter dem Angreifer ein „klassischer Hacker“ steht, der sich und seinesgleichen seine Fähigkeiten beweisen will und letztendlich gar kein wirkliches Interesse an den Daten hat – es geht vielmehr fast immer um organisierte Kriminalität oder staatliche Akteure, die bequem über das Internet auf sehr hohem technischen Niveau meist unerkannt unter einer Vielzahl von potenziellen Opfern auswählen können.

Was ist Cybersicherheit?
Der Begriff „Cyber“ wird mittlerweile in vielen Bereichen fast inflationär verwendet und spiegelt im Kontext „Cybersicherheit“ im Grundsatz die Informationssicherheit wider. Cybersicherheit geht, wenn man den Begriff diesbezüglich irgendwie in Relation setzen will, vom Blickwinkel auch weit über den Perimeterschutz eines Unternehmens hinaus und betrachtet Risiken einer weltweit vernetzten Verarbeitung, sei es durch Cloud-Systeme, Dienstleister, IoT-Komponenten oder kooperative digitale Arbeitsteilung. Dabei ist es nicht mehr ausreichend, das interne Unternehmensnetz mittels sorgfältig konfigurierter Firewall vom Internet abzusichern – was im Übrigen dennoch immer noch eine wichtige Kernaufgabe bleibt. Vielmehr müssen die speziellen Risiken berücksichtigt werden, die sich durch die Weitergabe von Daten an viele andere Akteure ergeben, um letztlich durch geeignete technische und organisatorische Maßnahmen den Mangel an eigener originärer Kontrolle zu kompensieren. Nichts anderes gilt auch beim Datenschutz, da sich der Schutz der Rechte und Freiheiten der von einer Verarbeitung personenbezogener Daten betroffenen Personen auch auf den Cyberraum ausdehnen muss.

Cybersicherheit als gesetzliche Datenschutzaufgabe
Was ist aber Cybersicherheit unter der seit nunmehr mehr als zweieinhalb Jahre geltenden Datenschutz-Grundverordnung (DSGVO) genau? Rechtlich leitet sich diese von den auch sonst beim technischen Datenschutz vorhandenen technikneutralen Bestimmungen ab: Nach Art. 25 Abs. 1 DSGVO sind Risiken der Rechte und Freiheiten mittels technischer und organisatorischer Maßnahmen einzudämmen. Dies umfasst den gesamten Verarbeitungszyklus (Planung, Umsetzung, Betrieb, Außerbetriebnahme) und soll die allgemeinen Datenschutz-Grundsätze nach Art. 5 Abs. 1 DSGVO berücksichtigen. Die Gewährleistung des Grundsatzes „Integrität und Vertraulichkeit“ wird in Art. 32 DSGVO mit der Sicherheit der Verarbeitung spezifiziert und legt mit dem zu erreichenden „angemessenem Schutzniveau“ die Messlatte an Sicherheitsmaßnahmen fest. Dabei können die gesetzlichen Anforderungen dieses Schutzniveaus, die sich aus dem „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ ergeben, auf die klassischen Schutzziele der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität (CIA, Confidentiality, Integrity, Availability) heruntergebrochen werden. Fraglos umfasst der technische Datenschutz mit bspw. der Datenminimierung oder der Einhaltung der Zweckbindung ein deutlich breiteres Spektrum als den Schutz gegen unerwünschte oder unbefugte Handlungen und Ereignisse. Dennoch  bleibt beim Schutz personenbezogener Daten im Internet auch im Jahr 2020 ein enormes Risikopotenzial, das einen wesentlichen Betrachtungsschwerpunkt des technischen Datenschutzes verdient und erforderlich macht.

Unternehmensrisiko versus Datenschutzrisiko – wirklich ein Widerstreit?
Informationssicherheit wird von Unternehmen umgesetzt – diese Annahme trifft auf viele Unternehmen zu, datenschutzmanche merken jedoch erst im Rahmen einer erfolgreichen Cyberattacke, dass diese vielleicht doch nicht Chefsache war, oder am falschen Ende gespart wurde. Dabei ist es zunächst Aufgabe der Unternehmensleitung zu entscheiden, ob und welche Schutzmaßnahmen ergriffen werden müssen. Sobald allerdings personenbezogene Daten verarbeitet werden, wird diese freie Entscheidung reguliert, da Risiken abgesichert werden müssen, die außerhalb der Verantwortungssphäre des Unternehmens liegen, da betroffene Personen materielle (z. B. finanzielle Einbußen) und immaterielle Schäden (z. B. Diskriminierung oder Rufschädigung) erleiden können. Diese Abgrenzung wird auch mit den Begriffen Datenschutzrisiko vs. Unternehmensrisiko zum Ausdruck gebracht: Mag es aus unternehmerischer Sicht nachrangig sein, dass eine Einkaufsliste von Kunden eines Online-Shops entwendet wurden, solange es deswegen zu keinem Umsatzeinbruch kommt, wird für viele Betroffene die unbefugte Veröffentlichung gekaufter Unterwäsche, Horrorfilme oder größerer Mengen Alkoholika zumindest unangenehm sein. Noch viel schwerwiegender sind Angriffe, bei denen bspw. die medizinische Versorgung eines größeren Dialysezentrums stillsteht, Daten von Kindern betroffen sind, Patienten eines Psychotherapeuten erpresst werden oder ein Identitätsbetrug durch gestohlene Personalausweiskopien droht.

Datenschutzrechtlicher Dreiklang von Prävention, Detektion und Reaktion
Die DSGVO gewährleistet Cybersicherheit aus drei Perspektiven: Prävention, Detektion und Reaktion. Mittels technischer und organisatorischer Maßnahmen müssen Risiken für die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten, von IT-Systemen und Fachprozessen eingedämmt werden. Die Maßnahmen zur Prävention müssen ihre Wirksamkeit neben einer geeigneten Konzeption und Umsetzung auch mittels Audits (auch durch den Datenschutzbeauftragten) unter Beweis stellen. Mängel sind bußgeldbewehrt und mit einer maximalen Geldstrafe von 10 Millionen Euro bzw. 2% vom Umsatz durchaus ernsthaft sanktionsfähig. Ausdrücklich beschreibt die DSGVO die Aufgabe, mittels geeigneter Maßnahmen eine Verletzung der Sicherheit festzustellen (Detektion) und zeigt damit z. B. eine Verpflichtung zur Protokollierung und Auswertung auf. Sofern ein Vorfall eingetreten ist, regeln Art. 33 (Meldung bei der zuständigen Aufsichtsbehörde) und Art. 34 (Meldung beim Betroffenen) DSGVO, wie Verantwortliche in Abhängigkeit des abgeschätzten Risikos für die Betroffenen auf die Sicherheitsverletzung zu reagieren  haben. Eine besondere Herausforderung stellt hierbei zunehmend die sorgfältige Auswahl von Dienstleistern und Online-Produkten dar, die selbst – obwohl datenschutzrechtlich nicht verantwortlich – in der Lage sein müssen, Sicherheitsverletzungen in ihrem Verantwortungsbereich festzustellen und – obwohl vielfach nicht für den Ruf des Unternehmens förderlich – diese den Auftraggebern mitteilen müssen. Diese Verpflichtung gilt für die gesamte Dienstleistungskette und kann so weltweit verteilte Unternehmen betreffen.

Die Rolle der Datenschutzaufsicht im staatlichen Verbund gegen Cybergefahren
Der Datenschutzaufsicht kommt bei der Überwachung der Einhaltung der Cybersicherheit eine zentrale und immer wieder herausfordernde Rolle zu. Datenschutzbehörden müssen dabei nicht anders als Unternehmen technologisch mit den aktuellen Entwicklungen im Cyberraum Schritt halten und benötigen dafür geeignetes Personal. Die bspw. beim Bayerischen Landesamt für Datenschutzaufsicht im Jahr 2019 erfolgten 4111 Meldungen nach Art. 33/Art. 34 DSGVO verlangen ausreichende Kapazitäten, damit eine am besten tagesaktuelle Reaktion auf jeden einzelnen Vorfall möglich ist. Nur so können die betroffenen Unternehmen mit passender Beratung unterstützt und ggf. weitere oder zielgerichtetere Schutzmaßnamen für die betroffenen Personen angestoßen werden.

Damit ergänzt die Datenschutzaufsicht bei Vorfällen im Internet die Aufgabenerfüllung anderer klassischer Sicherheitsbehörden wie Polizei, Staatsanwaltschaft, Verfassungsschutz oder spezifischer Fachbehörden.

Synergien staatlicher Behörden nutzen
Ungeachtet unterschiedlicher Handlungsbedingungen und Kernaufgaben unterstützt das Bayerische Landesamt für Datenschutzaufsicht die bayerischen Sicherheitsbehörden als Teilnehmer der im Januar 2020 als Informations- und Kooperationsplattform etablierten „Cyberabwehr Bayern“. In ihrem Mittelpunkt steht ein wöchentlicher Austausch von abstrakten Lagebildern, aktuellen Bedrohungslagen und bereits öffentlich bekannt gewordenen Sicherheitsvorfällen zur Verbesserung der Präventionsangebote aller staatlicher Akteure.

Datenschutzaufsicht häufig erster Ansprechpartner bei Sicherheitsvorfällen
Der gesetzliche Auftrag der Datenschutzaufsicht zum Schutz der Rechte und Freiheiten der betroffenen Personen wird damit als ein Baustein der staatlichen Cybersicherheitsarchitektur erkennbar. Insbesondere, soweit bei einer Cyberattacke auch personenbezogene Daten betroffen sind, werden die Datenschutzaufsichtsbehörden schon auf Grund der gesetzlichen, mit einer strengen 72-Stunden-Frist verknüpften Meldepflicht zum ersten Ansprechpartner sowohl für die angegriffenen Unternehmen als auch für die betroffenen Bürgerinnen und Bürger. Beratungsangebote, etwa wie aktive Angriffe unterbunden werden können oder wie Informationen der Betroffenen über Datenschutzverletzungen effektiv umgesetzt werden können, unterstützen die Verantwortlichen und sichern zugleich gesetzliche Schutzrechte der Betroffenen.

Während sich die Strafverfolgungsbehörden mit der Aufklärung der Tat und Ermittlung der Täter oder der Verfassungsschutz mit Wirtschaftsschutz und staatlichen Spionageangriffen  auseinandersetzen, übernimmt die Datenschutzaufsicht auf diese Weise gleichermaßen im Interesse von Unternehmen und Betroffenen einen wichtigen Beitrag zur Eindämmung der Schäden von Cyberattacken und zu ihrer künftigen Vorbeugung durch zielgenauere Abwehrmaßnahmen.

 

Insbesondere, wenn bei einer Cyberattacke personenbezogen Daten betroffen sind, werden Datenschutzaufsichtsbehörden zum ersten Ansprechpartner für die angegriffenen Unternehmen und betroffenen Bürgerinnen und Bürger.

Michael WillMichael Will
Präsident des Bayerischen Landesamtes für Datenschutzaufsicht