Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI-BW) veröffentlichte im Januar den 39. Tätigkeitsbericht der Aufsichtsbehörde. Vor allem die Themen EU-Digitalstrategie, Künstliche Intelligenz, mangelhafte Sicherung von Personaldaten und die Gefahr durch Phishing- und Ransomware-Vorfälle beschäftigten den LfDI-BW. Dieser Beitrag gibt einen Überblick über diese und weitere Schwerpunkte des Landesdatenschutzbeauftragten im vergangenen Jahr.
Der Inhalt im Überblick
- EU-Digitalstrategie bringt dem LfDI neues Tätigkeitsfeld
- KI an der Schule
- Anfrage des LfDI zu KI-basierter Software in der ärztlichen Behandlung
- Tätigkeitsbericht sieht Handlungsbedarf bei Personaldaten
- Ransom-Vorfälle laut LfDI-BW an der Tagesordnung
- Phishing und neue Betrugsmethoden
- Ein Hoch auf Europa sowie die technischen und organisatorischen Maßnahmen
EU-Digitalstrategie bringt dem LfDI neues Tätigkeitsfeld
Die EU-Digitalstrategie beinhaltet viele neue Gesetze. Dazu gehören unter anderem der Digital Services Act (DSA), Digital Markets Act (DMA), AI Act und der Data Act. Der baden-württembergerische LfDI sieht hierin gemäß Tätigkeitsbericht neue Herausforderungen für seine Behörde. Zudem stärke insbesondere der DSA die Rechte von Verbrauchern.
Vergrößertes Aufgabenfeld für den LfDI Baden-Württemberg
Hinsichtlich der Vielzahl neuer Rechtssetzungsakte der Europäischen Kommission stellen sich der Aufsichtsbehörde neue Zuständigkeits- und Verfahrensfragen. Schließlich erfolgt die Umsetzung dieser Regelungen eigenverantwortlich auf nationaler Ebene durch die EU-Mitgliedsstaaten. Ebenso müssen die Aufsichtsbehörden die Überschneidungen zum Datenschutzrecht im Blick haben.
Die rechtlichen Rahmenbedingen für den Wettbewerb, den Datenschutz und den Verbraucherschutz können gemäß Tätigkeitsbericht nicht länger allein für sich betrachtet werden. Umso wichtiger ist es, dass die Aufsichtsbehörden fachübergreifend zusammenarbeiten. Bestes Praxisbeispiel für den baden-württembergischen LfDI ist die Entscheidung des Europäischen Gerichtshof: Meta gegen Bundeskartellamt (C-252/21). Laut EuGH-Urteil darf auch das Bundeskartellamt Datenschutz prüfen. Artikel 40 des DMA schreibt unter anderem die Bildung einer „hochrangigen Gruppe“ aus fachübergreifenden Experten vor. In diesem Sinne hat der Europäische Datenschutzausschuss (EDSA) die Taskforce Consumer & Competition, ein interdisziplinär besetztes Gremium, gegründet. Dieses Gremium soll Verbindungen zwischen den verschiedenen Regelwerken klären und Synergien schaffen.
Tätigkeitsbericht schätzt die Transparenzpflichten des DSA
Der DSA beinhaltet Vorschriften zu Sorgfaltspflichten und Haftungsausschlüssen von Vermittlungsdiensten, Hosting-Dienstanbietern und Online-Plattformen. Als beachtenswert betrachtet der LfDI-BW die Regelungen hinsichtlich der Transparenz bei Werbung, wie z.B. der Kennzeichnungspflicht für Werbung. Gemäß DSA ist es verboten einen Dienst in solch einer Form anzubieten, welche Nutzende täuscht, manipuliert oder sonst in ihren Entscheidungen irreführt oder behindert („Deceptive Design Patterns„, „täuschendes Design“). Darüber hinaus darf laut Gesetz keine Werbung platziert werden, welche auf der Profilbildung besonderer Kategorien personenbezogener Daten beruht. Diese Punkte stärken die Rechte von Verbrauchern.
Würdigung der Streitbeilegungsverfahren gegen Meta und TikToK
Der Tätigkeitsbericht des baden-württembergischen LfDI begrüßt die Entscheidungen des EDSA hinsichtlich der Internetriesen Meta und TikTok sehr. In einem Streitbeilegungsverfahren im Sinne des Art. 65 DSGVO fällt der EDSA einen verbindlichen Beschluss mit Bindungswirkung für die zuständige Aufsichtsbehörde. Es muss sich dabei um einen grenzüberschreitenden Fall im Kooperationsverfahren bei vorgelegten Beschlussentwurf handeln. Zusätzlich darf keine Übereinkunft zwischen den betroffenen Aufsichtsbehörden und der zuständigen Aufsichtsbehörde erzielt worden sein.
- Meta
Als spektakulär bezeichnet der LfDI-BW die Entscheidung des EDSA hinsichtlich des Drittstaatentransfers durch den Konzern Meta Irland („Meta“). Die irische Aufsichtsbehörde DPC musste ihren vorgelegten Beschlussentwurf ändern und aufgrund der Schwere des Verstoßes ein Bußgeld gegen Meta verhängen. Die Übermittlung personenbezogener Daten des Unternehmens für ihren Facebook-Dienst in die USA auf der Grundlage von Standardvertragsklauseln (SCCs) im Nachgang des sogenannten „Schrems-II-Urteils“ des EuGH wurde beanstandet. Ebenso wurde der DPC auferlegt, Meta eine Frist von sechs Monaten zu setzen, in welcher es die rechtswidrige Übermittlung in die USA einstellen müsse. Die DPA verhängte ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen Meta. - TikTok
Anlass zur Beanstandung bot hier die Gestaltung der Optionen in Pop-up-Fenstern durch „Deceptive Design Patterns“. Diese Art der Darstellung verleite junge Menschen zu einem Verhalten, dass sie in der Tendenz von datenschutzfreundlichen Einstellungen auf der Plattform abhielte. Die Aufsichtsbehörde verordnete aufgrund der Entscheidung des EDSA ein Bußgeld gegen TikTok Technology Limited in Höhe von 345 Millionen Euro. Ebenso wurde die irische Datenschutzbehörde angewiesen TikTok zu verbieten, sich sogenannter „Deceptive Design Patterns“ unter dem Aspekt von Fairness und Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO) weiterhin zu bedienen. Die Prinzipien „Privacy by Design / Privacy by Default“ sind gemäß Tätigkeitsbericht des baden-württembergischen LfDI bei der Gestaltung von Webseiten praxisrelevanter denn je.
KI an der Schule
Das Zentrum für Schulqualität und Lehrerbildung (ZSL) entwickelte in enger Abstimmung mit dem baden-württembergischen LfDI ein Modul für die Lernplattform Moodle, welches als Vermittler zwischen Moodle-Nutzern und ChatGPT eingesetzt wird. So wird ausgeschlossen, dass Metadaten an den Betreiber OpenAI von ChatGPT übermittelt werden. Durch die Nutzung des Application Interfaces (API) werden diese Daten nicht zu Weiterentwicklung oder Verbesserung verwendet. Die Schüler werden vorab darüber aufgeklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen. Ebenso erfolgt eine stichprobenhafte Kontrolle der Eingaben der Schüler durch die Lehrkraft. Unter diesen Voraussetzungen hält der baden-württembergische LfDI die Verwendung dieser KI an der Schule datenschutzrechtlich für vertretbar.
Anfrage des LfDI zu KI-basierter Software in der ärztlichen Behandlung
Den LfDI Baden-Württemberg erreichte ebenso die Anfrage einer radiologischen Praxis hinsichtlich des Einsatzes von KI-basierter Software als Unterstützung für die medizinische Diagnostik. In der Beratung standen die Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO über die KI-basierte Software und die Umsetzung der Grundsätze der Verarbeitung nach Art. 5 Abs. 1 DSGVO im Fokus. Daneben galt es unter anderem zu klären, ob die Arztpraxis die Software über einen Auftragsverarbeitungsvertrag einsetze und die Informationspflichten nach Art. 12, 13 DSGVO für die Patienten umgesetzt werden. Schlussendlich sind auch die Anforderungen aus Art. 22 DSGVO einzuhalten. Nach dieser Norm hat die betroffene Person das Recht, nicht einer ausschließlichen auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Wiese beeinträchtigt.
Tätigkeitsbericht sieht Handlungsbedarf bei Personaldaten
Der LfDI beschäftigte sich im Jahr 2023 mit vielen Fällen der mangelhaften Sicherung von Personaldaten. Personenbezogene Daten der Beschäftigten wurden entweder bewusst in einer Form gespeichert, dass unberechtigte Mitarbeitende auf diese Zugriff nehmen konnten, oder Zugriffsmöglichkeiten wurden fahrlässig fehlerhaft eingerichtet und nicht im erforderlichen Maße beschränkt. Bei solch sensiblen Daten ist es zwingend notwendig Zugriffe auf Personaldaten entsprechend des Need-to-know-Prinzips nur den Mitarbeitenden einzurichten, welche diese zur Erledigung ihrer Aufgaben benötigen. Dies setzt die Ausarbeitung eines schlüssigen Berechtigungskonzepts voraus. Zu guter Letzt müssen die Personaldaten durch geeignete technische und organisatorische Maßnahmen im Sinne von Art. 5 Abs. 1 lit. f DSGVO angemessen geschützt sein. Gute Tipps hierzu geben die Bausteine OPR 4 Identitäts- und Berechtigungsmanagement sowie ORP.2 Personal des BSI-Grundschutzkompendiums.
Ransom-Vorfälle laut LfDI-BW an der Tagesordnung
Der baden-württembergische LfDI erhielt 2023 nahezu tägliche Meldungen über Ransomware-Vorfälle von Unternehmen und Behörden. Laut Definition des BSI werden bei einem Ransomware-Angriff die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Solche Angriffe sind nach Art. 33 DSGVO meldepflichtig, da bei solchen Fällen zumeist ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Betroffene müssen nach Art. 34 DSGVO informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Phishing und neue Betrugsmethoden
Auch Phishing-Angriffe auf Nutzende von Online-Speicher und E-Mail-Diensten sind bei Hackern in Baden-Württemberg gemäß Tätigkeitsbericht hoch im Kurs. Bei einem Phishing-Angriff versuchen Hacker, den Nutzer dazu zu bringen, vertrauliche Informationen preiszugeben. Ziel der Betrüger ist es, Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen. Darüber hinaus versuchen sie möglicherweise, den Computer des Nutzers mit Malware zu infizieren. Insbesondere Angriffe auf E-Mail-Konten bergen nach Ansicht des baden-württembergischen LfDI die Gefahr, dass Angreifer die Ein -oder Ausgangsmails nach kürzlich verschickten Rechnungen durchsuchen, dann die Kontonummer der Empfänger ändern und die Rechnung erneut verschicken. Sobald die Angreifer die Kontrolle über das Empfänger-Postfach haben, löschen sie die ursprüngliche Rechnung. Besteht für den Angreifer nun die Kontrolle über den Absender, wird vorgegeben, eine Aktualisierung zu versenden. Dieser Betrug hat laut Tätigkeitsbericht der Behörde häufig einen hohen finanziellen Schaden zur Folge und die fehlgeleitete Überweisung wird meist zu spät entdeckt. Der LfDI-BW betont wie wichtig es sei, die Beschäftigten regelmäßig für akute Phishing-Gefahren zu sensibilisieren.
Ein Hoch auf Europa sowie die technischen und organisatorischen Maßnahmen
Für den LfDI Baden-Württemberg schafft die EU-Digitalstrategie ein neues Aufgabenfeld und stärkt der DSA die Rechte von Verbrauchern. Die Streitbeilegungsverfahren zu Meta und TikTok zeigen, dass der EDSA ein Gremium von hoher Bedeutung ist und die Prinzipien „Privacy by Design“ und „Privacy by Default“ auch von Internetriesen wie Meta und TikTok berücksichtigt werden müssen. Die Ausführungen hinsichtlich Personaldaten sowie Ransomware- und Phishing-Angriffe beweisen, dass die Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen – wie z.B. Berechtigungskonzepte, Backups, Vertraulichkeit – wichtiger denn je ist.
Gut, den Tätigkeitsbericht kann man leicht selbst finden. Aber ist es zu viel verlangt, dass der Bericht, der besprochen wird, auch irgendwo im Artikel verlinkt wird?
Vielen Dank für den Hinweis. Haben wir geändert.