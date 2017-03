Täglich gibt es Hackerangriffe, auch auf Firmen in Bayern. Wie können, wie müssen sie reagieren? Fitness-Armbänder sammeln sensible Daten und schicken sie an die Hersteller. Was geschieht mit den Informationen? In Dating-Portalen geben Kunden bereitwillig Auskunft über private und intimste Vorlieben. Wer erfährt davon?

Fragen wie diesen widmet sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das am heutigen Freitag seinen siebten Tätigkeitsbericht vorstellt. Das Amt ist mit 18 Mitarbeitern Aufsichtsbehörde für den Datenschutz in 700 000 Unternehmen, Vereinen und Verbänden. Es ist auch zuständig für Freiberufler, also überall dort im Freistaat, wo nichtstaatliche Akteure Daten austauschen.

Bayern leistet sich hier eine Doppelstruktur: Um Behörden, Polizei und Verfassungsschutz soll sich der Landesbeauftragte für den Datenschutz kümmern, um den nichtstaatlichen Sektor das BayLDA.



Und BayLDA-Präsident Thomas Kranig kann sich über Mangel an Beschäftigung nicht beklagen: „Explosionsartig“ nehmen manche Formen der Cyberkriminalität zu, heißt es im Bericht. Dabei wäre seine Behörde schon froh, wenn sie beispielsweise alle Fälle von Erpressung durch Verschlüsselungstrojaner erführe. Dazu werden Schadprogramme in Computer oder Netzwerke eingeschleust, die wichtige Daten sperren oder verschlüsseln: Nur gegen Lösegeld werden die Daten wieder freigegeben. Und was machen viele Opfer? „Zahlen und schweigen“, erklärt Kranig. Kein Unternehmen lässt sich gerne als anfällig für Hacker und Internet-Gangster entlarven.



Die Leidtragenden sind meist die ahnungslosen Endkunden, deren Daten – manchmal samt Passwörtern und Sicherheitsfragen – in die Hände der Gangster gelangt sind. Der Bericht nennt Fälle wie den des Internet-Riesen Yahoo, der den Diebstahl seiner Kundendaten erst nach Jahren öffentlich gemacht hat. Zwar sind solche Datenpannen meldepflichtig, aber Kranig ahnt, dass man am Behördensitz in Ansbach „nur die Spitze des Eisbergs“ sieht.

Konzerne, die Opfer von Hackerangriffen werden: Sie zahlen und schweigen

Doch auch die Spitze des Eisbergs wächst: In den Jahren 2013 und 2014 wurden 53 solcher Pannen gemeldet, im Berichtszeitraum 2015 und 2016 waren es 113, allein vergangenes Jahr 85. Diese Häufung habe seine Leute „doch überrascht“, so Kranig. „Die täglich stattfindenden Cyber-angriffe stellen eine große Gefahr für uns alle dar“, mahnt der Präsident. Die Täter sind meist international aktiv, ebenso die Opfer, die Strafverfolgung schwierig.



Wo seine Behörde aber von Verstößen erfährt und Zugriff bekommt, ist sie kein zahnloser Tiger: Die Anzahl der Beschwerden, denen die Mitarbeiter nachgehen, stiegen von 1878 in den Jahren 2013 und 2014 auf 2527 in den beiden vergangenen Jahren.



Auch der Beratungsbedarf ist gewachsen. Im Berichtszeitraum stiegen die behandelten Anfragen von Bürgern und Unternehmen auf 3853, im Vergleich zu 3554 Fällen in den beiden Jahren davor. Es gebe ein wachsendes Datenschutzbewusstsein. Viele Zeitgenossen seien Opfer von Datenmissbrauch geworden und erkennen jetzt, „wie schwer bis unmöglich es heute ist, selbst darüber zu bestimmen, wer was über sie weiß“, so Kranig.



Aus den Beschwerden resultierten im Berichtszeitraum 173 Bußgeldverfahren und 53 Bußgeldbescheide. Die Zahl klingt überschaubar, bemerkenswerter ist der sträfliche Leichtsinn und die Nachlässigkeit im Umgang mit sensiblen Daten. Da war der Arbeitgeber, der die Liste seiner kranken Mitarbeiter ans Schwarze Brett hängte. Da war die Klinik, die einen Krankheitsbericht an eine Behörde übermittelte – an das zentrale Fax des Amtes. Da war die Arztpraxis, die wiederholt einen Befund an eine falsche Fax-Adresse versandte.



34 der Bußgelder beliefen sich auf unter 1000 Euro, zu den leichteren Verstößen gehört noch immer das Betreiben sogenannter Dashcams. Dem Hinweis der Autofahrer, mit den Kamerabildern durch die Frontscheibe könne man im Zweifel die Schuldfrage bei einem Verkehrsunfall klären, stehen datenschutzrechtliche Bestimmungen entgegen.



Wesentlich teurer werden Fehler bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Wer dafür als Unternehmer einen externen Dienstleister beauftragt und datenschutzrechtliche Bestimmungen nicht schriftlich und konkret festlegt, riskiert Bußgeld von bis zu 50 000 Euro. Der Bericht dokumentiert einen entsprechenden Fall. Bisher endet der Bußgeldrahmen bei 300 000 Euro nach dem deutschen Datenschutzgesetz (DASG). Diese Rechtsgrundlage entfällt im Mai 2018. Dann tritt die europäische Datenschutz-Generalverordnung (DS-GVO) in Kraft: „Eine erhebliche Verschärfung“ sagt Vizepräsident Manfred Ilgenfritz. Der Bußgeldrahmen wächst auf bis zu 20 Millionen Euro. „Das soll auch den Facebooks wehtun“, sagt Ilgenfritz.



Die Umstellung auf eine neue Rechtsgrundlage geht aber mit erheblicher Mehrarbeit einher. BayLDA-Präsident Kranig schlägt Alarm. Acht neue Planstellen wollte er, vier hat der Landtag bewilligt. Angesichts der wachsenden Auftragsflut sei „schon heute festzustellen, dass wir die Aufgaben der umfassenden Kontrolle der wirksamen und verhältnismäßigen und abschreckenden Sanktionierung fast aller Datenschutzverstöße … nicht werden leisten können“, heißt es im Bericht.



Künftig könnten also Prüfungen wie die von Datingportalen mangels Kapazitäten wegfallen: Dabei stellten die Datenschützer fest, das keines der zehn untersuchten Institute ein sicheres Login-Verfahren hat. Und bei der Studie über Fitness-Armbänder blieb auch den Prüfern unklar, wo die sensiblen Daten über Gesundheit, Fitness und Bewegung letztlich landen.

(Matthias Maus)