Datenschutz­woche

Immer mehr Cyberangriffe auf kritische Infrastruktur

Bei einem IT-Sicherheitsvorfall eines externen Dienstleisters der Berliner Verkehrsbetriebe (BVG) kam es zu einem Datenschutzvorfall, von dem nach bisherigen Erkenntnissen bis zu 180.000 Kundendaten betroffen sind. Die BVG hat umgehend die Berliner Datenschutzaufsichtsbehörde sowie die potenziell betroffenen Personen informiert und arbeitet eng mit dem betroffenen Dienstleister an der Aufklärung des Vorfalls.

Laut BVG sind keine besonders sensiblen Daten wie Kontoinformationen oder Passwörter betroffen. Dennoch wird Kundinnen und Kunden empfohlen, auf ungewöhnliche Aktivitäten und insbesondere auf mögliche Phishing-Versuche in ihren E-Mail-Postfächern zu achten. Eine vorsorgliche Änderung des Passworts wird ebenfalls nahegelegt.

Darüber hinaus warnt das Unternehmen vor dem Risiko, dass unbefugte Dritte versuchen könnten, mit den erlangten Daten Vertragsänderungen im Namen der Betroffenen zu veranlassen. Die Kundenbetreuung der BVG wurde dahingehend sensibilisiert und prüft entsprechende Anfragen besonders sorgfältig. Der Schutz personenbezogener Daten habe höchste Priorität, betont die BVG. Bei der Auswahl von Dienstleistern lege man großen Wert auf zertifizierte IT-Sicherheitsstandards. Eine umfassende Analyse des Vorfalls ist derzeit im Gange.

Der Vorfall bei der BVG reiht sich in eine Serie aktueller Cyberangriffe auf kommunale Unternehmen ein. Bereits Ende April waren die Stadtwerke Schwerte sowie der angehörige Abwasserbetrieb Ziel einer schweren Cyberattacke. In deren Folge wurden personenbezogene Daten – darunter auch Vertrags- und Kommunikationsdaten – im Darknet veröffentlicht. Die Stadtwerke informierten die Betroffenen und riefen zu erhöhter Wachsamkeit auf. Auch hier wurde der Schutz personenbezogener Daten als oberstes Ziel betont. 

US-Verbraucherschutzbehörde stoppt Datenschutzregel – Rückschritt im Kampf gegen Datenhandel

Die US-Verbraucherschutzbehörde Consumer Financial Protection Bureau (CFPB) hat überraschend den Entwurf einer geplanten Regelung zurückgezogen. Mit dieser Regelung sollte der Verkauf sensibler personenbezogener Daten durch Datenhändler strenger reguliert werden. Der im Dezember 2024 vorgestellte Vorschlag zielte insbesondere darauf ab, den Handel mit Finanzdaten, Kreditinformationen und Sozialversicherungsnummern stärker an die Vorgaben des Fair Credit Reporting Act (FCRA) anzupassen.

Ziel war es, sicherzustellen, dass Datenhändler künftig die ausdrückliche Zustimmung der US-Bürger einholen müssen, bevor sie sensible personenbezogene Daten – darunter etwa Einkommensinformationen – verkaufen oder weitergeben. US-Kreditagenturen sind durch den Fair Credit Reporting Act (FCRA), eines der ältesten Datenschutzgesetze des Landes, bereits zur Einhaltung vergleichbarer Vorschriften verpflichtet.

Der Datenhandel hat sich in den letzten Jahren zu einer milliardenschweren Industrie entwickelt. Er basiert auf der Sammlung und dem Verkauf äußerst detaillierter personenbezogener Informationen – häufig ohne Wissen oder Zustimmung der betroffenen Personen. Datenhandelsunternehmen erstellen umfangreiche Profile über nahezu jeden US-Amerikaner, darunter hochsensible Angaben wie exakte Standortdaten, politische Überzeugungen oder religiöse Zugehörigkeiten. Diese Informationen werden anschließend zu unterschiedlichen Zwecken weiterverkauft – etwa für gezielte Werbung oder für Überwachungsmaßnahmen durch Strafverfolgungsbehörden.

Am Dienstagmorgen wurde der Vorschlag jedoch stillschweigend zurückgezogen. Die entsprechende Mitteilung wurde im „Federal Register“ veröffentlicht. Als Begründung erklärte der amtierende Direktor des Consumer Financial Protection Bureau (CFPB), Russell Vought, die Maßnahme sei „nicht mehr notwendig oder angemessen“ und entspreche nicht der aktuellen Auslegung des FCRA, das derzeit überarbeitet werde.

Datenschützer reagierten mit deutlicher Kritik. Sie hatten gehofft, dass die Regelung mehr Transparenz in die Praktiken der Datenhandelsbranche bringen und Missbrauch eindämmen würde. Der Rückzug des Vorschlags wird allgemein als Rückschritt für den Datenschutz in den USA gewertet und von Kritikern als Zugeständnis an wirtschaftliche Interessen interpretiert.

Internationale Nachrichten

• EDPS: Am 7. Mai 2025 veröffentlichte der Europäische Datenschutzbeauftragte (EDPS) Leitlinien für die EU-Mitgesetzgeber zu zentralen Aspekten datenschutzrelevanter Gesetzesvorschläge. Die EDPS-Leitlinien zu Artikel 42 der Verordnung (EU) 2018/1725 enthalten praktische Hinweise für EU-Institutionen bei Gesetzesvorschlägen mit Auswirkungen auf den Datenschutz. Solche Maßnahmen müssen grundrechtskonform, klar und verhältnismäßig sein. In den Leitlinien wird unter anderem die Notwendigkeit präziser Angaben zu Zweck, Datenkategorien, Speicherdauer und Datenweitergabe betont.
• Italien: Die italienische Datenschutzaufsichtsbehörde geht gegen die nächste KI-Anwendung vor. Nachdem in der Vergangenheit bereits prominente Vertreter wie beispielsweise ChatGPT und DeepSeek von behördlichen Maßnahmen betroffen waren, verhängt die italienische Datenschutzbehörde nun eine Geldstrafe in Höhe von 5 Millionen Euro gegen das US-Unternehmen Luka Inc., das den Chatbot „Replika” betreibt. Zudem wurde eine unabhängige Untersuchung eingeleitet, um die korrekte Verarbeitung personenbezogener Daten durch das System zu überprüfen.

Aktuelle Gerichtsentscheidungen: 

• OVG Koblenz, Beschluss vom 03.02.2025, Az. 12 F 10840/24 (BeckRS 2025, 9568): Transparenz gegenüber der Aufsichtsbehörde – Die Durchsicht des dem Senat vorgelegten 57-seitigen Antwortschreibens einschließlich seiner 217 Seiten umfassenden Anlagen auf das mehr als 40 Fragen umfassende Informationsersuchen des Beklagten lässt nicht ohne Weiteres erkennen, dass es sich hierbei durchweg um Informationen handelt, die – wie der Beklagte geltend macht – als Geschäfts- oder Betriebsgeheimnisse anzusehen wären. [...] Bei dieser Sachlage genügt es nicht, zur Begründung der Nichtvorlage des Schreibens pauschal auf den Geheimhaltungsgrund des Geschäfts- oder Betriebsgeheimnisses zu verweisen. Vielmehr ist eine nachvollziehbare und differenzierte Begründung erforderlich, ob – und gegebenenfalls in welchem Umfang, insbesondere im Hinblick auf mögliche Teilschwärzungen – die zurückgehaltenen Antworten Informationen enthalten, die exklusives technisches oder kaufmännisches Wissen betreffen und an deren Geheimhaltung ein berechtigtes Interesse besteht.
• ArbG Düsseldorf, Urteil vom 06.02.2025, Az. 12 Ca 3221/24 (juris): Immaterieller Schadenersatz – Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe von 1.000,00 EUR aus Art. 82 Abs.1 DSGVO geltend gemacht. [...] Ein Verstoß gegen die Pflichten aus Art. 15 DSGVO kann einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DSGVO begründen. [...] Aufgrund der unvollständigen und teilweise falschen Auskunft der Beklagten hat der Kläger ausreichend Grund für die Befürchtung, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden.
• VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23 (juris): Rechtmäßigkeit einer Anordnung – Beurteilungszeitpunkt für die Rechtmäßigkeit einer angefochtenen datenschutzrechtlichen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung galt. Weiter ist zu berücksichtigen, dass die Zwecke, zu denen die Erhebung und die beabsichtigte Verarbeitung erfolgen soll, bereits zum Zeitpunkt der Datenerhebung festgelegt sein müssen. Es ist somit zu prüfen, ob den Kunden in der Phase der Erhebung der Daten gem. Art. 13 Abs. 1 lit. d DSGVO ein berechtigtes Interesse mitgeteilt wurde. 

Neuigkeiten aus den Aufsichtsbehörden: 

• Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI): „Pilotprojekt KI-Reallabor“ – Pressemitteilung vom 09.05.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Achtung, Widerspruchsfrist läuft aus! Meta will Daten zum Training seiner KI nutzen“ – Pressemitteilung vom 12.05.2025
• Datenschutzaufsicht Baden-Württemberg:„6. IFG-Days: Papier von gestern – Dateien für morgen“ – Pressemitteilung vom 13.05.2025
• Verbraucherzentrale Nordrhein-Westfalen: „Verbraucherzentrale NRW beantragt einstweilige Verfügung gegen Meta“ – Pressemitteilung vom 13.05.2025
• Datenschutzaufsicht Baden-Württemberg: „Meta KI – Training mit Posts, Fotos und Kommentaren von Nutzenden“ – Pressemitteilung vom 14.05.2025
• Datenschutzaufsicht Baden-Württemberg: „Diskussion am 21. Mai: Leitlinien zum Umgang mit KI in (öffentlichen) Institutionen“ – Pressemitteilung vom 14.05.2025
• Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI): „Was bedeutet Datenschutz in der digitalen Ära?“ – Pressemitteilung vom 15.05.2025
• Datenschutzaufsicht Thüringen: „Wichtige Hinweise zur Rolle des TLfDI bei Videoüberwachungen in Gemeinden und Städten“ – Pressemitteilung vom 15.05.2025
• Datenschutzaufsicht Berlin: „Newsletter 2/2025“ – Pressemitteilung vom 15.05.2025
• Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI): „Berlin Group legt Arbeitspapier mit Empfehlungen zu Neurotechnologien vor“ – Pressemitteilung vom 19.05.2025