Bayern: Gemeldete Datenpannen nehmen massiv zu
Die bayerische Datenschutzaufsicht verzeichnet einen starken Anstieg bei gemeldeten Datenpannen. Viele der Pannen gehen auf Hacking-Angriffe zurück. Durch Bürgerbeschwerden kam die Aufsicht auch nicht gemeldeten Angriffen auf die Spur.
In Bayern melden immer mehr Unternehmen Datenpannen, wozu sie nach dem Bundesdatenschutzgesetz (Paragraph 42 a) und dem Telemediengesetz (Paragraph 15 a) bußgeldbewehrt verpflichtet sind. Wie aus dem am heutigen Freitag vorgestellten Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hervorgeht, meldeten allein im vergangenen Jahr 85 Unternehmen eine Datenpanne. 2015 waren es erst 28 Unternehmen gewesen, 2014 lediglich 21.
Überraschender Anstieg
Dieser "gewaltige Anstieg hat uns doch überrascht", sagt Thomas Kranig, Präsident des Landesamts. Er vermutet, dass dies mit einem deutlich gestiegenen Bewusstsein für die Meldepflicht zusammenhängt. Kranig geht aber davon aus, "dass diese Zahl nur die Spitze eines großen Eisberges ist, der im Verborgenen ruht". In Fällen, von denen die Aufsicht erst aus der Presse nachträglich erfahren hat, legten die betroffenen Unternehmen hierfür "teils abenteuerliche" Begründungen vor. Die meisten erklärten dann aber, von der Meldepflicht nichts gewusst zu haben.
Einen deutlichen Anstieg verzeichnete die Datenschutzaufsicht im kriminellen Hacking-Umfeld. So wurden in Folge der Attacken auf IT-Konzerne wie Sony, Yahoo, Ebay und LinkedIn viele Privatpersonen und kleinere Unternehmen Opfer von Hacking-Attacken. Die abgegriffenen Datensätze mit Name, Mail-Adresse, Passwort, Telefonnummer, Geburtsdaten und Sicherheitsfragen waren im Darknet zu Spottpreisen versteigert worden. Die Käufer können die entwendeten Passwörter dann beispielsweise analysieren, um ähnliche des Nutzers für andere Dienste zu erraten.
Unzureichende Information der Kunden
Die gehackten Unternehmen hätten die Kunden oft nicht oder erst Jahre später über die Attacken und mögliche Abwehr informiert, konstatiert Kranig. Einigen habe er verdeutlichen müssen, dass sie dafür Sorge tragen müssen, Logins mit den gestohlenen Daten zu unterbinden: "Hier helfen leider auch keine Sicherheitsabfragen mehr, wenn die zugehörigen Antworten ebenso gestohlen wurden. Lediglich eine Authentifizierung mit einem weiteren Faktor, wie zum Beispiel einer SMS an eine hinterlegte Mobilfunknummer, kann hier vorbeugend wirken und im Schadensfall unterstützen."
Kranig wurde außerdem durch mehrere Bürgereingaben auch auf bislang unbekannte Hacking-Angriffe aufmerksam gemacht. So hatten sich mehrere Nutzer eines Web-Shops beschwert, weil sie über eine spezielle E-Mail-Adresse, die sie nach dem Schema shop-a@xyz.de nur für diesen Webshop eingerichtet hatten, mit Phishing-Angriffen und Spam belästigt wurden. Der Shop-Betreiber stritt zwar gegenüber den Betroffenen einen Hacking-Angriff ab, Kranigs Mitarbeiter konnten sich aber durch eine Vor-Ort-Kontrolle davon überzeugen, dass es tatsächlich zu einem Angriff gekommen war. Bußgelder für das Nichtmelden von Datenpannen wurden im Berichtszeitraum aber noch keine verhängt.
Aussicht auf mehr Arbeit
Bisher müssen Datenschutzverstöße gemeldet werden, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten. Überdies müssen den Betroffenen schwerwiegende Beeinträchtigungen drohen. Kranig rechnet damit, dass der Arbeitsaufwand seiner Behörde in diesem Bereich in den nächsten Jahren in einem "noch nicht absehbaren" Ausmaß zunehmen wird, da die Schwelle für die Meldepflicht von Datenpannen nach der europäischen Datenschutzgrundverordnung, die ab Mai 2018 umgesetzt werden muss, deutlich herabgesetzt wurde. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie zu einem Risiko für die Betroffenen führen kann.
Erstmals legte mit der bayerischen auch eine Datenschutzaufsichtsbehörde eine Statistik über Bearbeitungszeiten vor. Dabei entschied sie sich nicht für einen Durchschnittswert, sondern teilte das Gesamtaufkommen von Beschwerden und Beratungen in jeweils vier gleiche große Segmente, um ein Belastungsprofil zu erstellen. Demnach benötigte die Behörde für die Abarbeitung jeweils eines Viertels des Beschwerdeaufkommens 4, 14, 52 und 141 Tage. Ähnlich intensiv sieht dies auch bei Beratungen von Unternehmen aus. Mit Blick darauf spricht Kranig von einer "grenzwertige Belastung der Mitarbeiter". In Zukunft sei das nur durch mehr Personal und weniger Beratung zu bewältigen.
Keine gesetzlichen Fristen
Bisher gibt es keine gesetzlichen Bearbeitungsfristen, doch dies wird sich mit der europäischen Datenschutzgrundverordnung ändern. Sie verlangt in Artikel 78,2, dass ein Bürger innerhalb von drei Monaten über den Stand oder das Ergebnis seiner Beschwerde informiert werden muss. Im so genannten One-Stop-Shop-Verfahren, das die Zusammenarbeit der Aufsichtsbehörden in einem grenzüberschreitenden Fall untereinander regelt, müssen die Behörden binnen zwei Wochen zu einer Entscheidung kommen können. (mho)