DatenschutzVerantwortung übernehmen
Herr Kelber, Sie sind Ende vergangenen Jahres zum neuen Bundesdatenschutzbeauftragten (BfDI) gewählt worden. Welche Schwerpunkte haben Sie sich für Ihre Amtszeit gesetzt?
Ein wesentlicher Fokus wird darauf liegen, die Regeln der Datenschutz-Grundverordnung (DSGVO) europaweit einheitlich anzuwenden und durchzusetzen. Gerade in Bezug auf die großen internationalen Internet-Firmen haben wir mittlerweile wirksame Mittel, um die Vorgaben der DSGVO auch durchzusetzen. Schließlich geht es beim Datenschutz nicht nur um die Grundrechte einzelner Bürgerinnen und Bürger. Es geht auch um den Schutz unserer freiheitlichen, demokratischen und pluralistischen Gesellschaft. Wer sich ständig überwacht fühlt, egal ob von privaten Unternehmen oder vom Staat, ändert sein Verhalten. Wenn über Personen große Datensammlungen und Verhaltensvorhersagen existieren, können diese leichter manipuliert werden. Das müssen wir verhindern. Nicht unsere Grundrechte müssen sich staatlichem Handeln oder Geschäftsmodellen unterwerfen, sondern Staat und Konzerne müssen sich an unseren Grundrechten ausrichten. Ein weiterer Fokus wird darauf liegen, im Bereich der Informationsfreiheit für noch mehr Transparenz zu sorgen. Hier prüfe ich aktuell, wie der BfDI mit gutem Beispiel vorangehen und aktiv Dokumente veröffentlichen kann, ohne dass es zu einer Anfrage nach dem Informationsfreiheitsgesetz gekommen ist.
Gleich zu Beginn Ihrer Amtszeit herrschte große Aufregung, da Hacker persönliche Daten und Dokumente Hunderter deutscher Politiker öffentlich gemacht haben. Wie bewerten Sie diesen Angriff?
Der Fall reiht sich in eine immer längere Liste von Vorfällen ein, bei denen Daten aus dem Internet unberechtigt abgegriffen und Dritten zugänglich gemacht wurden. Auch wenn dieser Fall in Bezug auf die Quantität ein eher kleinerer war, muss angesichts der Qualität der veröffentlichten Daten, die teilweise sogar Informationen aus den intimsten Lebensbereichen erfassen, von einer massiven Datenschutzverletzung gesprochen werden.
Welche Lehren sollten aus diesem Hacker-Angriff auf Politikerdaten gezogen werden?
Nach allem, was wir wissen, konnten die Daten insbesondere deshalb gesammelt und veröffentlicht werden, weil die Passwörter zu privaten E-Mail-Konten, Cloud-Diensten und sozialen Netzwerken zu leicht zu erraten waren oder durch Phishing-Angriffe oder Ausnutzung von Passwort-Rücksetzungsverfahren erbeutet wurden. Auch wenn wir Missbrauch nie zu hundert Prozent verhindern können, gibt es Maßnahmen, um hier in Zukunft gewappnet zu sein. Nutzer müssen einen besseren Eigenschutz betreiben. Dazu gehören zum Beispiel starke Passwörter, die sich für jeden Dienst unterscheiden, die Nutzung von Zwei-Faktor-Authentifizierung, eine sensibilisierte Verwendung von Cloud-Diensten und der Einsatz von Verschlüsselung auch im privaten Bereich. Ansonsten hilft eine gesunde Skepsis etwa beim Öffnen von E-Mail-Anhängen. Jeder sollte aber auch bei der Nutzung sozialer Medien genau überlegen, welche privaten Details er veröffentlichen möchte. Zudem sollten die Anbieter von Diensten verpflichtet werden, Vorkehrungen zu treffen, um das Risiko entsprechender Angriffe so weit wie möglich zu reduzieren. So dürften beispielsweise zu einfache Passwörter nicht mehr zugelassen werden. Im Fall eines Angriffs müssten die Anbieter schnell und unkompliziert mit den Behörden kooperieren, um den entstandenen Schaden und eine weitergehende Verbreitung von illegal veröffentlichten Daten bestmöglich einzudämmen. Darüber hinaus müssen die Datenschutzaufsichtsbehörden bei Cyber-Angriffen, die auch den Datenschutz gefährden, unverzüglich informiert und eingebunden werden. Wenn die zuständigen Behörden aus den Medien von entsprechenden Vorfällen erfahren, ist das eindeutig zu spät.
Ist ein Rückzug aus den sozialen Medien, wie in Robert Habeck praktiziert, für Politiker das Mittel der Wahl?
Diese Entscheidung muss letztlich jeder selbst treffen. Ich persönlich halte den völligen Verzicht auf soziale Medien, die für viele Menschen heute fest zum Alltag gehören, für falsch. Aber sicherlich ist es wichtig zu überlegen, welche sozialen Medien man nutzt und bedient. Es gibt oft datenschutzfreundliche Alternativen. Ich habe ein Problem mit Geschäftsmodellen, bei denen eine unglaubliche Datenmenge produziert wird, die vielfältige kommerzialisierbare Rückschlüsse auf die Nutzer zulässt, wenn gleichzeitig völlig unklar ist, wie mit diesen Informationen umgegangen wird.
„Bei allen Kanälen, auf denen Behörden kommunizieren, müssen sie sicherstellen, dass die Datenschutzvorgaben beachtet werden.“
Was sollten Behörden, die sensible Bürgerdaten verwalten, in Bezug auf die Datensicherheit beachten?
Alle Behörden sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Die Auswahl der Maßnahmen sollte auf der Grundlage einer Risikobewertung erfolgen. Dabei sind Art, Umfang, Umstände und Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten des Betroffenen zu berücksichtigen. Konkrete gängige Maßnahmen wären beispielsweise die Zutrittskontrolle zu Räumlichkeiten, die Zugangskontrolle zu den verwendeten IT-Verfahren, die Beschränkung des Zugriffs auf gespeicherte Daten durch ein aufgabenbasiertes Rechte- und Rollenkonzept, der Schutz vor unberechtigtem Zugriff beim Transport oder der Übertragung von Daten, etwa durch Verschlüsselung, die Nachvollziehbarkeit und Dokumentation von Dateneingaben, -pflege und -verwaltung, die Sicherstellung der Verfügbarkeit und der Schutz vor Datenverlusten sowie die Trennung von Daten, die zu verschiedenen Zwecken erhoben werden.
Wie sollten Behörden ihre Mitarbeiter zum Thema Datenschutz sensibilisieren?
Wichtig sind aus meiner Sicht Schulungen durch die behördlichen Datenschutzbeauftragten, die auf die Besonderheiten und Gegebenheiten der jeweiligen Behörde eingehen können. Zudem sollte man mit den Datenschutzaufsichtsbehörden im Austausch stehen.
Wie bewerten Sie Auftritte öffentlicher Verwaltungen bei Facebook und die Kommunikation von Stadtoberhäuptern via WhatsApp?
Bei allen Kanälen, auf denen Behörden kommunizieren, müssen sie sicherstellen, dass die Datenschutzvorgaben beachtet werden. Liegt dies nicht in ihrer Hand, sollten bestimmte Kanäle gemieden werden, um sich nicht der Gefahr auszusetzen, bei Datenschutzverletzungen des genutzten Mediums zur Verantwortung gezogen zu werden. Dies sollte spätestens seit der Entscheidung des Europäischen Gerichtshofs über die gemeinsame Verantwortung von Facebook und Fanpage-Betreibern jedem klar sein. Die Datenschutzkonferenz hat dazu eine Entschließung mit dem sehr passenden Titel „Die Zeit der Verantwortungslosigkeit ist vorbei“ herausgegeben. Gerade Behörden sollten hier mit gutem Beispiel vorangehen. Das gilt auch noch für einen anderen Grundsatz: Alle Informationen, die man über Facebook & Co. veröffentlicht, müssen für Bürger auch erreichbar sein, ohne dass dabei ihre Daten abgegriffen werden, etwa via RSS-Feed.
Dieser Beitrag ist in der Ausgabe April 2019 von Kommune21 im Schwerpunkt Datenschutz erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
Sachsen: Tausende Cyberattacken auf Landesbehörden
[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen
[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...
Niedersachsen: NIS2-Richtlinie umgesetzt
[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...
Hessen: Höhere Cybersicherheit
[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
Thüringen: Datenschutzbericht übergeben
[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[29.10.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt „SicherKommunal“. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
it-sa: So steht es um die Cybernation Deutschland
[25.10.2024] Zum Stand der Initiative „Cybernation Deutschland“, den BSI-Grundschutz der Zukunft und über die NIS2-Richtlinie informierte die BSI-Präsidentin Claudia Plattner auf der Kongressmesse it-sa in Nürnberg (22. bis 24. Oktober 2024). mehr...
Utimaco/genoa: Sichere Telearbeit für VS-NfD-Umgebungen
[23.10.2024] Utimaco und genua haben die genusecure-Suite entwickelt, um den Anforderungen an sicheres mobiles Arbeiten in VS-NfD-Umgebungen gerecht zu werden. Die Lösung kombiniert Festplattenverschlüsselung und VPN-Technologie, zugelassen vom BSI, um Behörden und Unternehmen datenschutzkonforme Telearbeitsplätze zu bieten. mehr...
Bayern: Cyberabwehr gemeinsam stärken
[21.10.2024] Bei einer gemeinsamen Übung haben Bayerns Cybersicherheitsbehörden ihre Reaktionsfähigkeit auf komplexe Cyberangriffe getestet. Im Fokus standen übergreifende Kommunikation und die Entwicklung gemeinsamer Lösungen, um Kritische Infrastrukturen und Verwaltung besser zu schützen. mehr...
Bundesdruckerei: Cybersicherheit für das Quantenzeitalter
[18.10.2024] Die Bundesdruckerei erprobt neue kryptografische Methoden, um die Kommunikation der öffentlichen Verwaltung auch im Quantenzeitalter sicher zu gestalten. Unterstützt vom BSI testet sie eine quantensichere Public-Key-Infrastruktur, die künftig für sichere Identifikation und verschlüsselte Kommunikation sorgen soll. mehr...
Rheinland-Pfalz: Landesverwaltung setzt NIS2 um
[10.10.2024] Bis zum 17. Oktober müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Mit der Verabschiedung einer Verwaltungsvorschrift hat das Land Rheinland-Pfalz jetzt die entsprechenden rechtlichen Regelungen hierfür getroffen. mehr...
Bayern: Gemeinsam gegen Cybercrime
[26.09.2024] Die Bedrohungslage im Bereich Cybersicherheit hat sich in Bayern weiter verschärft. Laut dem neuen Cybersicherheitsbericht 2024 des Freistaats werden immer mehr kleine und mittelständische Unternehmen sowie Behörden Opfer von Cyberangriffen. mehr...
Niedersachsen: Sicherheit im Cyberspace
[25.09.2024] Eine neue Cybersicherheitsstrategie soll das Land Niedersachsen besser vor digitalen Bedrohungen schützen. Das jetzt von der Landesregierung verabschiedete Konzept umfasst zwölf Handlungsfelder und bindet alle gesellschaftlichen Akteure ein. mehr...
it-sa 2024: Sicheres mobiles Arbeiten für Behörden
[24.09.2024] Auf der it-sa 2024 präsentiert Materna Virtual Solution gemeinsam mit Rohde & Schwarz Cybersecurity und agilimo Consulting innovative Lösungen für das sichere Arbeiten mit Smartphones und Tablets. mehr...