Tätigkeitsbericht 2021 der Brandenburger Landesdatenschutzbeauftragten

Wer einen Blick auf Art. 59 DSGVO wirft, findet einen Hinweis auf eine der zahlreichen Aufgaben der Datenschutzaufsichtsbehörden: die Erstellung eines Jahresberichtes zum Datenschutz. Folglich erstellen die Datenschutzaufsichtsbehörden jährlich einen sogenannten Tätigkeitsbericht, so auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Tätigkeitsberichte von Aufsichtsbehörden sind sehr hilfreich: So können sie auf Verbesserungsmöglichkeiten in der eigenen Datenschutzorganisation hinweisen, um diese zu prüfen und aus ihnen zu lernen. Werfen wir also einen Blick auf den Tätigkeitsbericht 2021 der Brandenburger Landesdatenschutzbeauftragten und betrachten drei der von ihr angesprochenen Themen.

Cookies

Die Datenschutzaufsichtsbehörden von 13 Bundesländern nahmen eine koordinierte Prüfung von Webseiten verschiedener Medienunternehmen mithilfe eines einheitlichen Kriterienkataloges vor. – Ab Seite 38 im Bericht können Interessenten dazu nachlesen. – Im Zuge dessen wählte die Brandenburger Landesbeauftragte ein Verlagshaus aus. Dabei stellte sich heraus, dass ungefähr 500 Cookies und andere Tracking-Mechanismen bei Besuch der Webseite zum Einsatz gekommen sein sollen. Des Weiteren soll sich nach Angaben der Landesbeauftragten herausgestellt haben, dass der Cookie-Banner des Verlagshauses nicht den Anforderungen der DSGVO entsprach: Es wurde zwar über den Einsatz der Cookies informiert wurde, aber nicht die Möglichkeit gegeben, dem Einsatz von Cookies zuzustimmen oder diesen abzulehnen. Im Zuge der Korrespondenz entschied sich der Verlag für das Modell, dass Nutzer dem Einsatz von Cookies zustimmen müssen, um auf die Webseite zugreifen zu können oder für werbe-, Cookie- und Tracking-freies Lesen ein kostenpflichtiges Abonnement abschließen müssen. Nach weiteren Bewertungen wurde ein Bußgeld gegen das Verlagshaus verhängt.

Datenschutzkonformer Einsatz von Cookies

In mehreren unserer Beiträge haben wir das Thema zum datenschutzkonformen Einsatz von Cookies behandelt, u. a. in folgenden: „Datenschutz: Manche Cookies kosten“ und „Cookies – Bußgelder beim Einsatz vermeiden“. Stark vereinfacht ausgedrückt, ist der Einsatz technisch nicht notwendiger Cookies nur erlaubt, wenn der Nutzer in den Einsatz eingewilligt hat. Dafür dient der Cookie-Banner – auch Consent Management System (CMS) genannt -, der auch über die Einzelheiten des Einsatzes informiert. – Seit dem 01.12.2021 ist hierzu nicht nur die DSGVO, sondern auch das TTDSG zu beachten. (Mehr zu diesem Thema und Hinweisen zum Änderungsbedarf finden Interessenten in diesem Beitrag und hier.) – Des Weiteren muss er die Möglichkeit bieten, dem Cookie-Einsatz zuzustimmen, den abzulehnen oder eine Auswahl an Cookies zu erlauben. All dies ganz ohne Mittel, mithilfe derer Verantwortliche versuchen könnten, die Einwilligung eines Nutzers zu erzwingen.

Dark Patterns

Unter Dark Patterns sind verdeckte bzw. getarnte Mittel zu verstehen, die Webseiten, Online-Plattform-Betreiber o. Ä. anwenden, um Nutzer dazu zu bewegen, dem Einsatz von Cookies zuzustimmen und damit mehr Daten als eigentlich gewünscht von sich preiszugeben. Damit einher geht auch oft, dass der jeweilige Betreiber Nutzer davon abhalte, von ihren Rechten als betroffene Person Gebrauch zu machen.

Der Europäische Datenschutzausschuss (EDSA) hat zu den sogenannten Dark Patterns Leitlinien erfasst. In diesem Dokument ist es zwar auf soziale Medien bezogen, aber sehr gut auch auf Webseiten allgemein anwendbar. Beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg können Interessenten auf der Webseite Antworten zu Fragen bzgl. Cookies und Tracking finden (Link).

Ausübung von Betroffenenrechten

Ab Seite 54 des Berichtes erläutert die Landesbeauftragte einen Fall, bei dem u. a. ein Verantwortlicher eine betroffene Person daran gehindert habe, ihre Rechte gemäß der DSGVO auszuüben. Ein Grundstückseigentümer wandte sich an eine Maklerin, die ihm den Verkauf seines Grundstückes anbot, um zu erfahren, woher sie die Informationen zu ihm und dem Grundstückseigentum habe. Die Antwort der Maklerin besagte, sie könne die Frage aus Datenschutzgründen nicht beantworten. Dies – neben einem anderen Datenschutzverstoß der Maklerin – führten zu einem Bußgeldbescheid gegen die Maklerin.

Auskunftsersuchen betroffener Personen

Betroffene Personen haben bezüglich ihrer Daten umfangreiche Rechte – die sogenannten Betroffenenrechte, die die DSGVO in Kapitel 3 der DSGVO (Art. 12 – 23 DSGVO) regelt. So haben Betroffene u. a. ein Recht darauf, Auskunft zur Verarbeitung ihrer personenbezogenen Daten anzufordern (Art. 15 DSGVO). Tritt eine betroffene Person also an einen Verantwortlichen heran, um ihr Auskunftsrecht auszuüben, hat der Verantwortliche umgehend, längstens jedoch binnen eines Monats darauf zu antworten. Selbst wenn ein Verantwortlicher eine sogenannte Negativauskunft geben muss, weil er eben bestimmte Daten nicht preisgeben darf oder keine des Betroffenen verarbeitet, muss er dies darlegen. Eben diese Darlegung gibt genau die Gründe und Rechtsgrundlagen an. Dabei sollte der Verantwortlicher dies aber nicht generell pauschalisieren, sondern genau betrachten, worüber er eventuell doch Auskunft geben darf.

Die Leitlinien 01/2022 des EDSA sind eine Klarheit schaffende Quelle für Verantwortliche. Unseren Beitrag zu den Leitlinien können Interessierte hier lesen. Mehr zu den Rechten Betroffener, speziell auch bzgl. Art. 15 DSGVO finden Sie u. a. hier und in diesem Beitrag. Des Weiteren stellt die Landesdatenschutzaufsicht Bayern ein Muster für eine Auskunftserteilung bereit. Die Landesdatenschutzaufsicht Hessen hat solch ein Muster speziell für Arztpraxen erstellt.

Gestohlene Nutzerdaten

Die Brandenburger Landesdatenschutzbeauftragte berichtet ab Seite 89 über einen Fall einer Unternehmensgruppe, welche u. a. einen Online-Marktplatz und eine Online-Gebrauchtwagenbörse betreibt. Dem Bericht zufolge bemerkte das Unternehmen unbefugte Logins auf über 250.000 Nutzerkonten durch einen Credential Stuffing-Angriff.

Was ist ein Credential Stuffing-Angriff?

Unter einen Credential Stuffing-Angriff versteht man einen Angriff auf einen Online-Dienst mit Login-Daten aus anderen Online-Diensten. In solch einem Fall ist also schon bekannt, dass beispielsweise der Nutzername X mit Passwort Y bei einem bestimmten Online-Dienst zum Einloggen erfolgreich funktioniert hat. Anhand dieser Information probiert ein Angreifer mit denselben Login-Daten automatisiert Zugriff auf andere Nutzerkonten bei verschiedenen Online-Diensten zu erlangen.

Vermeidung von (erfolgreichen) Credential Stuffing-Angriffen

Sowohl die Nutzer selbst als auch die Online-Dienstbetreiber können dazu beitragen, dass Credential Stuffing-Angriffe erfolgreich verlaufen. Nutzer sollten beispielsweise

1)     nicht dasselbe Passwort und den gleichen Benutzernamen bei unterschiedlichen Diensten verwenden.

2)    ein komplexes Passwort mit mindestens acht bzw. möglichst vielen Zeichen, Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen erstellen. Hier hat zum einen das BSI Empfehlungen herausgegeben (Link) und auch von der Landesdatenschutzaufsicht Baden-Württemberg gibt es hilfreiche Informationen (Link). Zum anderen haben wir uns in einem unserer Beiträge speziell mit der Erstellung sicherer Passwörter befasst (Link).

3)    die Zwei-Faktor-Authentisierung nutzen, sofern dies möglich ist.

Aber auch Online-Dienstbetreiber können zur Abwehr und Erfolgslosigkeit von Credential Stuffing-Angriffen beitragen:

1)     Sie können die Erstellung möglichst sicherer Passwörter technisch fördern und zusätzliche Hinweise geben, wie z. B. die Vermeidung der Wiederverwendung schon genutzter Passwörter.

2)    Login-Daten sollten in einer Weise gespeichert werden, sodass sie für einen unbefugten Zugriff nicht lesbar sind. Dabei ist die Verschlüsselung hilfreich. Der Schlüssel zur Entschlüsselung bzw. Informationen zu kryptografischen Hash-Funktionen sollten an einem anderen Ort aufbewahrt werden.

3)    Die Passwortdatenbank sollte verschlüsselt sein.

4)    Es sollte ein System implementiert worden sein, was Cyber-Angriffe schnellstmöglich bemerkt und Alarm schlägt.

Bemerkt ein Verantwortlicher einen Angriff und es besteht die Gefahr, dass die Hacker Zugriff auf die Passwörter erlangt haben, muss neben der Meldung an die Datenschutzaufsicht gemäß Art. 33 DSGVO auch eine Information an die Betroffenen nach Art. 34 DSGVO prüfen. – Zumindest ist diese Pflicht zu prüfen. – Demnach wäre den Betroffenen zu raten, ihre Passwörter zu ändern; insbesondere auch bei anderen Diensten, sofern sie die Passwörter bei anderen Diensten verwenden.

Fazit

Nicht nur der Tätigkeitsbericht der Brandenburger Landesdatenschutzbeauftragten zeigt, dass auch nach vier Jahren des Inkrafttretens der DSGVO, in so mancher Einrichtung noch nicht alle Prozesse und Maßnahmen zum Datenschutz und zur -sicherheit implementiert worden sind. Aber auch wenn ein Datenschutz-Management-System in einer Einrichtung implementiert worden ist, ist dies kein statisches System, sondern sollte auch anhand der Erkenntnisse aus u. a. den Tätigkeitsberichten immer wieder geprüft und verbessert werden. Dazu gehört der effiziente Umgang mit Datenpannen und Sicherheitsvorfällen. Dafür benötigt es funktionierende Prozesse.

Wenn es um den Datenschutz in Ihrer Einrichtung geht, sei es um Ihre Prozesse und Dokumentation zu aktualisieren oder zu erstellen, können wir Sie unterstützen. Kontaktieren Sie uns dafür gern gleich.