Datenschutz:
Verantwortung übernehmen


[1.4.2019] Im Interview erklärt der Bundesdatenschutzbeauftragte Ulrich Kelber, was Behörden und Bürger in Bezug auf Datensicherheit beachten sollten und welche Lehren aus den jüngsten Hacker-Angriffen gezogen werden können.

Bundesdatenschutzbeauftragter Ulrich Kelber Herr Kelber, Sie sind Ende vergangenen Jahres zum neuen Bundesdatenschutzbeauftragten (BfDI) gewählt worden. Welche Schwerpunkte haben Sie sich für Ihre Amtszeit gesetzt?

Ein wesentlicher Fokus wird darauf liegen, die Regeln der Datenschutz-Grundverordnung (DSGVO) europaweit einheitlich anzuwenden und durchzusetzen. Gerade in Bezug auf die großen internationalen Internet-Firmen haben wir mittlerweile wirksame Mittel, um die Vorgaben der DSGVO auch durchzusetzen. Schließlich geht es beim Datenschutz nicht nur um die Grundrechte einzelner Bürgerinnen und Bürger. Es geht auch um den Schutz unserer freiheitlichen, demokratischen und pluralistischen Gesellschaft. Wer sich ständig überwacht fühlt, egal ob von privaten Unternehmen oder vom Staat, ändert sein Verhalten. Wenn über Personen große Datensammlungen und Verhaltensvorhersagen existieren, können diese leichter manipuliert werden. Das müssen wir verhindern. Nicht unsere Grundrechte müssen sich staatlichem Handeln oder Geschäftsmodellen unterwerfen, sondern Staat und Konzerne müssen sich an unseren Grundrechten ausrichten. Ein weiterer Fokus wird darauf liegen, im Bereich der Informationsfreiheit für noch mehr Transparenz zu sorgen. Hier prüfe ich aktuell, wie der BfDI mit gutem Beispiel vorangehen und aktiv Dokumente veröffentlichen kann, ohne dass es zu einer Anfrage nach dem Informationsfreiheitsgesetz gekommen ist.

Gleich zu Beginn Ihrer Amtszeit herrschte große Aufregung, da Hacker persönliche Daten und Dokumente Hunderter deutscher Politiker öffentlich gemacht haben. Wie bewerten Sie diesen Angriff?

Der Fall reiht sich in eine immer längere Liste von Vorfällen ein, bei denen Daten aus dem Internet unberechtigt abgegriffen und Dritten zugänglich gemacht wurden. Auch wenn dieser Fall in Bezug auf die Quantität ein eher kleinerer war, muss angesichts der Qualität der veröffentlichten Daten, die teilweise sogar Informationen aus den intimsten Lebensbereichen erfassen, von einer massiven Datenschutzverletzung gesprochen werden.

Welche Lehren sollten aus diesem Hacker-Angriff auf Politikerdaten gezogen werden?

Nach allem, was wir wissen, konnten die Daten insbesondere deshalb gesammelt und veröffentlicht werden, weil die Passwörter zu privaten E-Mail-Konten, Cloud-Diensten und sozialen Netzwerken zu leicht zu erraten waren oder durch Phishing-Angriffe oder Ausnutzung von Passwort-Rücksetzungsverfahren erbeutet wurden. Auch wenn wir Missbrauch nie zu hundert Prozent verhindern können, gibt es Maßnahmen, um hier in Zukunft gewappnet zu sein. Nutzer müssen einen besseren Eigenschutz betreiben. Dazu gehören zum Beispiel starke Passwörter, die sich für jeden Dienst unterscheiden, die Nutzung von Zwei-Faktor-Authentifizierung, eine sensibilisierte Verwendung von Cloud-Diensten und der Einsatz von Verschlüsselung auch im privaten Bereich. Ansonsten hilft eine gesunde Skepsis etwa beim Öffnen von E-Mail-Anhängen. Jeder sollte aber auch bei der Nutzung sozialer Medien genau überlegen, welche privaten Details er veröffentlichen möchte. Zudem sollten die Anbieter von Diensten verpflichtet werden, Vorkehrungen zu treffen, um das Risiko entsprechender Angriffe so weit wie möglich zu reduzieren. So dürften beispielsweise zu einfache Passwörter nicht mehr zugelassen werden. Im Fall eines Angriffs müssten die Anbieter schnell und unkompliziert mit den Behörden kooperieren, um den entstandenen Schaden und eine weitergehende Verbreitung von illegal veröffentlichten Daten bestmöglich einzudämmen. Darüber hinaus müssen die Datenschutzaufsichtsbehörden bei Cyber-Angriffen, die auch den Datenschutz gefährden, unverzüglich informiert und eingebunden werden. Wenn die zuständigen Behörden aus den Medien von entsprechenden Vorfällen erfahren, ist das eindeutig zu spät.

Ist ein Rückzug aus den sozialen Medien, wie in Robert Habeck praktiziert, für Politiker das Mittel der Wahl?

Diese Entscheidung muss letztlich jeder selbst treffen. Ich persönlich halte den völligen Verzicht auf soziale Medien, die für viele Menschen heute fest zum Alltag gehören, für falsch. Aber sicherlich ist es wichtig zu überlegen, welche sozialen Medien man nutzt und bedient. Es gibt oft datenschutzfreundliche Alternativen. Ich habe ein Problem mit Geschäftsmodellen, bei denen eine unglaubliche Datenmenge produziert wird, die vielfältige kommerzialisierbare Rückschlüsse auf die Nutzer zulässt, wenn gleichzeitig völlig unklar ist, wie mit diesen Informationen umgegangen wird.

„Bei allen Kanälen, auf denen Behörden kommunizieren, müssen sie sicherstellen, dass die Datenschutzvorgaben beachtet werden.“

Was sollten Behörden, die sensible Bürgerdaten verwalten, in Bezug auf die Datensicherheit beachten?

Alle Behörden sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Die Auswahl der Maßnahmen sollte auf der Grundlage einer Risikobewertung erfolgen. Dabei sind Art, Umfang, Umstände und Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten des Betroffenen zu berücksichtigen. Konkrete gängige Maßnahmen wären beispielsweise die Zutrittskontrolle zu Räumlichkeiten, die Zugangskontrolle zu den verwendeten IT-Verfahren, die Beschränkung des Zugriffs auf gespeicherte Daten durch ein aufgabenbasiertes Rechte- und Rollenkonzept, der Schutz vor unberechtigtem Zugriff beim Transport oder der Übertragung von Daten, etwa durch Verschlüsselung, die Nachvollziehbarkeit und Dokumentation von Dateneingaben, -pflege und -verwaltung, die Sicherstellung der Verfügbarkeit und der Schutz vor Datenverlusten sowie die Trennung von Daten, die zu verschiedenen Zwecken erhoben werden.

Wie sollten Behörden ihre Mitarbeiter zum Thema Datenschutz sensibilisieren?

Wichtig sind aus meiner Sicht Schulungen durch die behördlichen Datenschutzbeauftragten, die auf die Besonderheiten und Gegebenheiten der jeweiligen Behörde eingehen können. Zudem sollte man mit den Datenschutzaufsichtsbehörden im Austausch stehen.

Wie bewerten Sie Auftritte öffentlicher Verwaltungen bei Facebook und die Kommunikation von Stadtoberhäuptern via WhatsApp?

Bei allen Kanälen, auf denen Behörden kommunizieren, müssen sie sicherstellen, dass die Datenschutzvorgaben beachtet werden. Liegt dies nicht in ihrer Hand, sollten bestimmte Kanäle gemieden werden, um sich nicht der Gefahr auszusetzen, bei Datenschutzverletzungen des genutzten Mediums zur Verantwortung gezogen zu werden. Dies sollte spätestens seit der Entscheidung des Europäischen Gerichtshofs über die gemeinsame Verantwortung von Facebook und Fanpage-Betreibern jedem klar sein. Die Datenschutzkonferenz hat dazu eine Entschließung mit dem sehr passenden Titel „Die Zeit der Verantwortungslosigkeit ist vorbei“ herausgegeben. Gerade Behörden sollten hier mit gutem Beispiel vorangehen. Das gilt auch noch für einen anderen Grundsatz: Alle Informationen, die man über Facebook & Co. veröffentlicht, müssen für Bürger auch erreichbar sein, ohne dass dabei ihre Daten abgegriffen werden, etwa via RSS-Feed.

Interview: Alexandra Braun

http://www.bfdi.bund.de
Dieser Beitrag ist in der Ausgabe April 2019 von Kommune21 im Schwerpunkt Datenschutz erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, BfDI, Ulrich Kelber, Social Media, Facebook, WhatsApp

Bildquelle: Susi Knoll

Druckversion    PDF     Link mailen




Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
IT-Grundschutz: BSI zertifiziert Berater
[2.6.2020] Seit einem Jahr zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Interessierte zum IT-Grundschutz-Praktiker oder -Berater. Die entsprechenden Fortbildungen können bei rund 30 Schulungsanbietern belegt werden. mehr...
Interview: Die Blockchain-Genossen Interview
[28.4.2020] Kommunale IT-Dienstleister haben die Genossenschaft govdigital gegründet, die sich mit der Blockchain-Technologie befasst. Kommune21 sprach mit Geschäftsführer Matthias Kammer über den Aufbau der nötigen Infrastruktur und die Aufgaben. mehr...
Matthias Kammer
BSI: Kompendium zu Videokonferenzsystemen
[23.4.2020] Videokonferenzen sicher nutzen – dazu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Kompendium veröffentlicht. Das Dokument greift die Systematik des IT-Grundschutz-Kompendiums auf. mehr...
AKDB: Dateien sicher austauschen
[20.4.2020] Wer im Homeoffice arbeitet, braucht eine zuverlässige Lösung für den Austausch von Dateien. Kommunen können sich den Cloud-Speicher KommSafe jetzt zu Sonderkonditionen beschaffen. mehr...
IKT Ost: Sicherheitstechnologie von procilon
[16.4.2020] Seine elektronischen Kommunikationsprozesse will das IKT Ost sicher und rechtskonform gestalten. Auch der Beweiswert von Signaturen soll gesichert sein. Das interkommunale IT-Dienstleistungszentrum setzt zu diesem Zweck auf Software des Unternehmens procilon. mehr...
Suchen...

 Anzeige



 Anzeige

zk2020

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 3/2020
Kommune21, Ausgabe 4/2020
Kommune21, Ausgabe 5/2020
Kommune21, Ausgabe 6/2020

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GROUP
04425 Taucha bei Leipzig
procilon GROUP
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Aktuelle Meldungen