Datenschutz­woche

#177

heise online: Die digitalpolitischen Vorhaben der künftigen Regierungskoalition

Die Verhandlungen zwischen CDU/CSU und SPD zur Digitalpolitik haben zentrale Fragen des Datenschutzes und der digitalen Grundrechte behandelt. Eine wesentliche Änderung der letzten Woche: Von einem eigenständigen Digitalministerium ist keine Rede mehr. Das geht aus einer Fassung des Arbeitsgruppenpapiers hervor, das heise online vorliegt. Die Verhandlungsergebnisse werden nun mit den Ergebnissen der anderen Arbeitsgruppen sowie zwischen den Partei- und Fraktionsspitzen abgestimmt.

Ein Schwerpunkt der Verhandlungen war der Umgang mit der Datenschutzaufsicht. Die Unionsparteien streben eine Umbenennung der Institution der Bundesdatenschutzbeauftragten in „Beauftragte/r für Datennutzung, Datenschutz und Informationsfreiheit“ an. Dafür wären zusätzliche Kompetenzen erforderlich. Die Datenschutzkonferenz soll gestärkt werden, um eine einheitliche Auslegung der DSGVO in den Bundesländern zu gewährleisten.

Auch die Nutzung und Weitergabe von Daten war ein zentrales Thema. Eine „Kultur der Datennutzung“ soll Innovation und Datenschutz gleichermaßen berücksichtigen. Bestehende Rechtsunsicherheiten sollen beseitigt und Datenökosysteme gefördert werden. Zugangsregelungen für Mobilitäts-, Gesundheits- und Forschungsdaten sollen überarbeitet werden.

Bei der Regulierung von Plattformen sollen bestehende Regeln konsequent umgesetzt werden, etwa durch die Löschung strafbarer Inhalte und Maßnahmen gegen Desinformation. Uneinigkeit herrscht über die Umsetzung von Altersverifikationssystemen.

IT-Dienstleister vernachlässigt jahrelang Patch- und Schwachstellenmanagement

Das Information Commissioner's Office (ICO) hat gegen die Advanced Health & Care Division Limited (AHC) ein Bußgeld in Höhe von 3,076 Mio. GBP verhängt. AHC ist eine Tochtergesellschaft der in Birmingham ansässigen Aston M IDCO Ltd. Das Unternehmen bietet IT-Dienstleistungen für verschiedene Branchen an, darunter das Gesundheitswesen, Rechtsdienstleistungen und das Bildungswesen. 

Nach den Ermittlungen des ICO nutzten Hacker eine bekannte Sicherheitslücke, um sich Zugang zu den Systemen von AHC zu verschaffen. Dabei wurden personenbezogene Daten von 82.946 Personen exfiltriert, darunter medizinische Aufzeichnungen, Krankengeschichten, Patientenakten- und Versicherungsnummern. Diese Daten gelten nach Art. 9 DSGVO (wie auch im britischen Datenschutzpendant) als besonders schutzwürdig. 

Die ausgenutzte Schwachstelle, die als ZeroLogon bekannt ist, ermöglicht es Angreifern, die Authentifizierung zu umgehen und Administratorrechte zu erlangen. Microsoft und das National Institute of Standards and Technology (NIST) stuften die Lücke bereits 2020 als erhebliches Sicherheitsrisiko ein und stellten entsprechende Patches zur Verfügung. Das ICO stellte fest, dass AHC trotz frühzeitiger Warnungen keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hatte, um das Risiko zu minimieren. Insbesondere habe es an einem effektiven Schwachstellenmanagement und einer konsequenten Umsetzung von Sicherheitsupdates gefehlt. Die Behörde sieht darin einen Verstoß gegen Art. 32 Abs. 1 UK GDPR, der der entsprechenden Regelung in Art. 32 DSGVO entspricht. 

Obwohl AHC das Risiko gekannt habe, sei nicht sichergestellt worden, dass der entsprechende Patch ordnungsgemäß in der eigenen IT-Umgebung implementiert worden sei. Eine forensische Untersuchung bestätigte, dass Angreifer über die ZeroLogon-Schwachstelle Administratorrechte erlangen konnten. Laut ICO hätte AHC die bekannte Schwachstelle durch regelmäßige Scans und ein effektives Patch-Management schließen können. Das Bußgeld wurde auf Grundlage von Art. 82 und Art. 83 Abs. 2 lit. d UK GDPR gegen die Muttergesellschaft von AHC verhängt, deren Jahresumsatz bei der Bußgeldberechnung zugrunde gelegt wurde.

Internationale Nachrichten

  • Dänemark: Im Nachbarland trat Ende 2021 ein Whistleblower-Gesetz in Kraft. Dieses verpflichtet öffentliche Behörden sowie zahlreiche private Unternehmen und Organisationen zur Einrichtung interner Hinweisgebersysteme. Wie aus dem aktuellen Jahresbericht der dänischen Datenschutzaufsicht hervorgeht, ist die Zahl der Meldungen seit Inkrafttreten des Gesetzes kontinuierlich gestiegen. Im Jahr 2024 gingen insgesamt 186 Meldungen bei der nationalen Whistleblower-Stelle ein. Dies entspricht einer Steigerung von mehr als 60 Prozent im Vergleich zu den Ausgangszahlen aus dem Jahr 2022. Die steigende Anzahl der Meldungen deutet darauf hin, dass das Whistleblower-Gesetz das Vertrauen der Bürger in die Meldesysteme stärkt und zur Aufdeckung von Missständen beiträgt.
  • Luxemburg: Das Verwaltungsgericht Luxemburg hat die von der nationalen Datenschutzbehörde CNPD im Jahr 2021 gegen Amazon verhängte Geldbuße in Höhe von 746 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) bestätigt. Amazon plant, gegen dieses Urteil weitere rechtliche Schritte einzuleiten.

Aktuelle Gerichtsentscheidungen

  • ArbG Düsseldorf, Urteil vom 04.12.2024, Az. 8 Ca 3409/24 (BeckRS 2024, 43707): Immaterieller Schadenersatz – Hätte die Beklagte auf das Auskunftsersuchen des Klägers pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben. Er hätte keine (begründeten) Befürchtungen im Hinblick auf eine missbräuchliche Verwendung haben müssen [...] Der Höhe nach erscheint aus Sicht der erkennenden Kammer ein Schadensersatz in Höhe von 750,00 EUR angemessen.
  • LG Hannover, Beschluss vom 26.02.2025, Az. 128 OWiLG 1/24 (BeckRS 2025, 3463): Pseudonymisierung – Die Pseudonymisierung kommt hier jedoch einer Anonymisierung tatsächlich sehr nahe (Stichwort: anonymisierende Pseudonymisierung). Der außerhalb des Betriebes stehende, im Ausland befindliche Monitor war nämlich nicht in der Lage, die Personalnummern bestimmten Personen zuzuordnen. Die Annahme des LfD, dass dieses „aufgrund von Datenerhebungen und Datenverknüpfungen und geführten Gesprächen durchaus in bestimmten Fällen möglich gewesen sein dürfte“ ist spekulativ und verkennt, dass der Monitor dazu gar keine Veranlassung hatte, weil er nach den vertraglichen Vereinbarungen die Offenlegung von Klarnamen hätte verlangen können. Solange er dies nicht tat und sich mit den Personalnummern begnügte, waren die dahinterstehenden Personen für ihn quasi anonym.
  • KG Berlin, Beschluss vom 14.03.2025, Az. 21 U 202/24 (juris): Videoüberwachung – Ein Anspruch auf Entfernung von Überwachungskameras besteht nicht, wenn die Sorge eines Nachbarn vor Überwachung allein auf einem Nachbarschaftsstreit beruht, ohne dass objektive Anhaltspunkte diesen Verdacht belegen.

Neuigkeiten aus den Aufsichtsbehörden: